Chinaunix首页 | 论坛 | 博客
  • 博客访问: 506014
  • 博文数量: 176
  • 博客积分: 4045
  • 博客等级: 上校
  • 技术积分: 2491
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-19 11:23
文章分类

全部博文(176)

文章存档

2011年(7)

2009年(12)

2008年(157)

我的朋友

分类:

2008-04-07 08:52:34

特权分离(Privilege Separation)

所谓特权分离(Privilege Separation)实际上是一种OpenSSH的安全机制,类似于chroot能够提供的安全性。这个特性是默认开启的,配置文件中的 UsePrivilegeSeparation 指令可以开启或关闭这个特性。

使用此特性的关键之处在于设置一个空目录,并将此目录的权限设置为"000",宿主设置为"root"。然后还需要设置一个用于特权分离的非特权用户,比如sshd,并将此用户的家目录设置为这个空目录。比如可以使用下面这样的命令:

	# mkdir -p  /var/empty
# chown 0:0 /var/empty
# chmod 000 /var/empty
# groupadd sshd
# useradd -g sshd -c 'sshd privsep' -d /var/empty -s /bin/false sshd

然后在运行配置脚本的时候,使用

  --with-privsep-path=/var/empty
--with-privsep-user=sshd

来指定目录和用户。

阅读(3195) | 评论(0) | 转发(0) |
0

上一篇:UNIX高手的十大习惯

下一篇:掌握udev

给主人留下些什么吧!~~