OpenWrt packages项目中openssh权限问题分析与修复

在OpenWrt项目的packages组件中，openssh软件包存在一个关于/etc/ssh目录权限设置不当的问题。这个问题会影响普通用户使用openssh客户端的功能。

问题背景

openssh是一个广泛使用的安全shell工具套件，在OpenWrt系统中也作为重要组件被包含。在默认安装配置中，/etc/ssh目录被设置为700权限，这意味着只有root用户才能访问该目录。这种权限设置实际上是不合理的，因为它会阻止非特权用户使用openssh客户端功能。

技术分析

在Unix/Linux系统中，目录权限700表示：

• 所有者(root)有读、写、执行权限
• 组用户和其他用户没有任何权限

对于/etc/ssh这样的系统配置目录，通常应该设置为755权限，即：

• 所有者(root)有读、写、执行权限
• 组用户和其他用户有读和执行权限

这种设置允许所有用户读取目录内容(如主机密钥等)，但只有root用户能修改这些文件，既保证了安全性又不影响正常使用。

影响范围

该问题会导致以下后果：

1. 普通用户无法使用ssh客户端连接到其他主机
2. 系统日志中可能出现权限拒绝的错误
3. 依赖ssh连接的其他自动化工具可能无法正常工作

解决方案

OpenWrt维护团队通过一系列提交修复了这个问题。主要修改包括：

1. 将/etc/ssh目录权限从700改为755
2. 确保相关配置文件保持适当权限(如600)
3. 更新软件包构建脚本以保持正确的默认权限

这种修改既解决了功能性问题，又保持了系统的安全性，因为敏感文件(如私钥)仍然保持严格的权限设置。

最佳实践建议

对于类似系统配置目录的权限设置，建议遵循以下原则：

1. 配置目录通常应设置为755
2. 包含敏感信息的文件应设置为600
3. 可执行文件可根据需要设置为755或700
4. 定期检查系统关键目录的权限设置

这个案例展示了即使是成熟的软件包，在特定环境下也可能出现权限配置问题，需要维护者持续关注和及时修复。