適用於 z/OS 平台[16.0.0.4 以及更新版本]

避免群體中發生 SSH 的問題

瞭解如何避免群體中發生 SSH 的問題。安全問題通常是關於使用者因為安全限制太嚴格而無法存取資源。 SSH 配置選項 StrictModes 是針對相反的問題(安全太寬鬆時)來保護公開和私密金鑰檔。 SSH 讓系統之間不經過密碼鑑別也可進行安全通訊,但如果某些目錄和檔案的許可權不夠嚴格,SSL 就無法運作。

關於這項作業

群體控制器使用 SSH 來啟動和停止群體成員。當您檢視和編輯配置檔時,「管理中心」也使用 SSH。如果某些 SSH 目錄和檔案許可權太寬鬆,這兩項功能都會失敗。

關於 z/OS® 上的 SSH 支援,請參閱 OpenSSH 說明文件中的 IBM® Ported Tools for z/OS: OpenSSH 使用手冊

何謂 SSH?
群體 Script 建立檔案,供控制器用來登入使用公開和私密金鑰鑑別的成員服務,這是最安全的鑑別 SSH 方法。 為了保護公開和私密金鑰鑑別的金鑰,必須限制只有擁有金鑰的使用者才能存取含有金鑰的檔案。

含有 SSH 金鑰的目錄或檔案上的許可權,不可容許 UNIX 群組有寫入權,或其他許可權位元。比方說,如果許可權是 770、775 或 777,則 SSH 無法正常運作。

StrictModes
依預設,OpenSSH 會啟用 StrictModes 選項。當安全太寬鬆時,如果必要的檔案未受到妥善保護,StrictModes 會停用公開和私密金鑰鑑別,以保護公開金鑰檔。
SSH 疑難排解
針對群體安全問題進行疑難排解時,例如控制器無法啟動或停止成員,或您無法使用「管理中心」來檢視或編輯配置檔,如果您停用 StrictModes 就解決問題,表示與公開和私密金鑰鑑別相關的 ssh 目錄或檔案上,所有權、群組或任何人存取權不正確。請更正存取權,然後重新啟用 StrictModes。

程序

  1. 檢查 OpenSSH /etc/ssh/sshd_config 常駐配置檔。

    StrictModes 選項設為 yes、註銷或不存在時,就表示啟用。 StrictModes 選項可能判定安全太寬鬆。結果,因為以 SSH 登入伺服器失敗,群體控制器無法啟動成員。

  2. 針對與控制器和成員伺服器相關聯的使用者 ID,使用者 ID 必須擁有並取得下列目錄和檔案的適當許可權:
    目錄或檔案 許可權
    起始目錄 700
    起始目錄下的 .ssh 子目錄 700
    /.ssh/authorized_keys 檔案 600
    /<server_config>/resources/security/ssh/ 目錄 700
    /<server_config>/resources/security/ssh/id_rsa 檔案 600
    /<server_config>/resources/security/ssh/id_rsa.pub 檔案 依預設為 600。您可以將許可權變更為 640644,使公開金鑰變成可讀取。

指示主題類型的圖示 作業主題

檔名:tagt_wlp_collective_zos_ssh.html