ssh 的特权分离-flyscan-ChinaUnix博客

风间流云flyscan.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

flyscan

博客访问： 499471
博文数量： 176
博客积分： 4045
博客等级：上校
技术积分： 2491
用户组：普通用户
注册时间： 2008-03-19 11:23

文章分类

全部博文（176）

运维体系（0）
Python（4）
程序设计（1）
ORACLE数据库（0）
网络服务（3）

web服务（2）
网络安全（5）
Linux（150）

Linux 源码分析（1）

Shell Script（18）

Gentoo（1）

FVWM（1）

Linux 内核（39）

Linux 字体（12）

Xwindow（0）

LFS/BLFS/CLFS（3）

Linux 集群（1）

Linux 安全相关（5）

Linux 汇编（8）

Linux 编程（10）

Linux TIP（50）
未分配的博文（13）

文章存档

2011年（7）

2009年（12）

2008年（157）

我的朋友

特权分离(Privilege Separation)

所谓特权分离(Privilege Separation)实际上是一种OpenSSH的安全机制，类似于chroot能够提供的安全性。这个特性是默认开启的，配置文件中的 UsePrivilegeSeparation 指令可以开启或关闭这个特性。

使用此特性的关键之处在于设置一个空目录，并将此目录的权限设置为"000"，宿主设置为"root"。然后还需要设置一个用于特权分离的非特权用户，比如sshd，并将此用户的家目录设置为这个空目录。比如可以使用下面这样的命令：

	# mkdir -p  /var/empty
	# chown 0:0 /var/empty
	# chmod 000 /var/empty
	# groupadd sshd
	# useradd -g sshd -c 'sshd privsep' -d /var/empty -s /bin/false sshd

然后在运行配置脚本的时候，使用

  --with-privsep-path=/var/empty
  --with-privsep-user=sshd

来指定目录和用户。

阅读(3111) | 评论(0) | 转发(0) |

上一篇：UNIX高手的十大习惯

下一篇：掌握udev

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6