He configurado el acceso a través de sftp, y la conexión se encuentra en el directorio de inicio del usuario.
En ese directorio está la carpeta .ssh , que contiene su clave pública.
¿Es un riesgo que puedan acceder a él? ¿Hay alguna mejor práctica al respecto?
El servidor se ejecuta en Ubuntu.
Primero, no creo que te refieras a clave pública, porque la clave pública es, como su nombre sugiere, pública. Pero el directorio también puede contener la clave privada ( id_rsa por ejemplo). De cualquier manera, no debería importar, ya que se supone que la clave debe ser accesible por el propietario (usuario).
Si tiene miedo de que el usuario distribuya su clave privada a otros o la publique, entonces prohíba el acceso SSH / SFTP por completo.
Si solo el usuario puede acceder a la clave privada, y nadie más (excluyendo la raíz), no hay ninguna razón por la que deba cambiar la configuración.
Esto es obligatorio (en las authorized_keys) para que el servidor pueda descifrar los paquetes cifrados con la clave privada para autenticarse.
Además, la carpeta .ssh y el archivo authorized_keys solo deben poder ser escritos por el propio usuario, de modo que ningún otro usuario pueda agregar otra clave para hacerse pasar por alto, si no es así, ssh-server descartará el archivo y negará el acceso. .
Cita de página de manual de sshd para FreeBsd (pero es cierto para la mayoría de las instalaciones de openssh):
~/.ssh/authorized_keys Lists the public keys (DSA, ECDSA, Ed25519, RSA) that can be used for logging in as this user. The format of this file is described above. The content of the file is not highly sensi- tive, but the recommended permissions are read/write for the user, and not accessible by others. If this file, the ~/.ssh directory, or the user's home directory are writable by other users, then the file could be modified or replaced by unauthorized users. In this case, sshd will not allow it to be used unless the StrictModes option has been set to ''no''.