/.ssh/Authorized_密钥是公共php

当我打开

http://mysite.com/.ssh/authorized_keys

将打开一个页面，其中包含以下信息：

ssh-rsa aaaab3nzac1yc2aaaabiwaaaieavz7xl5q7x+uobugs9tmwh41a2icznyklngohdsdl6e3kfxqhvxxxbol0qejwuejatp0su3y7//p5e35qdimdew8w7w2pddnktmhchvfs1bikop4bxw5jdhgt2zpt0rgxk/sr79q8g1opi9v2xldducq5mc4v4vewslxvnu=

这是什么？这是脆弱的吗？攻击者可以使用它获得管理员权限吗？如果是，他会怎么做？他将如何进行攻击

---

版本：PHP/5.3.18

看起来您的web根目录已设置为用户主目录。这绝对是一个安全漏洞。特别是如果您可以访问您的私钥文件（id_rsa），该文件也位于.ssh目录中。您想更改vhost配置中的DocumentRoot设置。

ssh服务器使用

授权密钥文件来存储公钥，以便在公钥/私钥身份验证中使用。在Linux上，此文件通常位于密钥所在的用户主目录中的
.ssh
目录中。我的猜测是，您使用的用户将web根目录作为其主目录，当为该用户添加公钥时，会创建此文件。这可能是入侵的迹象，但更可能是正常的，因为攻击者不需要添加公钥，尤其是在网络中。从理论上讲，文件的存在和可见应该是无害的，因为没有人拥有私钥，公钥就没有任何意义，但人们也不需要能够看到它。如果您知道不需要该文件，可以将其删除，或者如果需要，可以在目录中放置一个
.htaccess
文件以阻止web访问。
ssh目录仅包含此文件“/Authorized\u keys”，没有其他内容