Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2086062
  • 博文数量: 414
  • 博客积分: 10312
  • 博客等级: 上将
  • 技术积分: 4921
  • 用 户 组: 普通用户
  • 注册时间: 2007-10-31 01:49
文章分类

全部博文(414)

文章存档

2011年(1)

2010年(29)

2009年(82)

2008年(301)

2007年(1)

分类: LINUX

2008-04-06 01:03:48

特权分离(Privilege Separation)

所谓特权分离(Privilege Separation)实际上是一种OpenSSH的安全机制,类似于chroot能够提供的安全性。这个特性是默认开启的,配置文件中的 UsePrivilegeSeparation 指令可以开启或关闭这个特性。

使用此特性的关键之处在于设置一个空目录,并将此目录的权限设置为"000",宿主设置为"root"。然后还需要设置一个用于特权分离的非特权用户,比如sshd,并将此用户的家目录设置为这个空目录。比如可以使用下面这样的命令:

	# mkdir -p  /var/empty
	# chown 0:0 /var/empty
	# chmod 000 /var/empty
	# groupadd sshd
	# useradd -g sshd -c 'sshd privsep' -d /var/empty -s /bin/false sshd

然后在运行配置脚本的时候,使用

  --with-privsep-path=/var/empty
  --with-privsep-user=sshd

来指定目录和用户。

阅读(1223) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~