Proteger las claves ssh de la cuenta de la raíz

2

¿Cómo pueden protegerse las claves privadas ssh de los usuarios contra el robo de raíz y el intento de fuerza bruta? ¿No puedo usar selinux ya que el proveedor no admite la aplicación cuando está en uso? Gracias

    
pregunta user2312666 21.01.2016 - 19:24
fuente

2 respuestas

1

No regale las claves de su hardware propio y mantenido. Si no tiene una raíz en su computadora, la tarjeta inteligente del usuario (o Yubikey).

Como ya se dijo, nada protege sus claves (o datos) del acceso físico y root usuario. Ni siquiera SELinux (la raíz puede hacer todo, si no está confinada!). La criptografía hace el trabajo solo parcialmente (las claves cifradas pueden ser forzadas por la fuerza bruta, pero no es factible si la frase de contraseña es lo suficientemente fuerte). Pero el hardware confiable no puede ser forzado brutalmente y usted sabe exactamente cuándo se usa (requiere confirmación, pin, lo que sea).

    
respondido por el Jakuje 21.01.2016 - 19:59
fuente
1

Realmente quieres SELinux, o una alternativa como AppArmor , SMACK o AKARI / TOMOYO .

Tome estos ejemplos del libro SELinux System Administration -

Considera el ejemplo del archivo shadow nuevamente. Se puede configurar un sistema MAC para que el archivo solo pueda leerse y escribirse mediante procesos específicos. Un usuario que inició sesión como root no puede acceder directamente al archivo ni siquiera moverlo. Ni siquiera puede cambiar los atributos del archivo:

  

root # id uid = 0 (root) gid = 0 (root)

     

root # cat / etc / shadow

     

cat: / etc / shadow: Permiso denegado

     

root # chmod a + r / etc / shadow

     

chmod: cambio de permisos de '/ etc / shadow': permiso denegado

Esto se aplica a través de reglas que describen cuándo se puede leer el contenido de un archivo. Con SELinux, estas reglas se definen en la política de SELinux y se cargan cuando se inicia el sistema. Es el kernel de Linux el que se encarga de hacer cumplir las reglas, y lo hace a través de LSM (Linux Security Modules).

    
respondido por el atdre 21.01.2016 - 20:04
fuente

Lea otras preguntas en las etiquetas