website/bugs/authorized_keys_not_cleared.mdwn

   1 [[!meta title="users with missing or empty authorized keys and User IDs should have MS-generated keys cleared" ]]
   2
   3 I had a user who had a bunch of entries in
   4 `~/.monkeysphere/authorized_user_ids`, and a bunch of raw keys in
   5 `~/.ssh/authorized_keys`.  My system's `monkeysphere-server` handled
   6 this situation appropriately, and populated
   7 `/var/lib/monkeysphere/authorized_keys/user` with the full set.
   8
   9 Then i wanted to wipe out all key entries for that user.  So i did:
  10
  11         mkdir ~user/backup
  12         mv ~user/.ssh ~user/.monkeysphere ~user/backup
  13         monkeysphere-server update-users user
  14
  15 I expected this to either remove
  16 `/var/lib/monkeysphere/authorized_keys/user`, or truncate it to 0
  17 bytes.  However, it just remained untouched, and the old keys
  18 persisted.
  19
  20 This seems like a potential security problem.
  21
  22 ---
  23
  24 [[bugs/done]] on 2008-10-26 in c8ab71b24b566967fdb39818d071f6548dc056c8