Estou trabalhando em uma instalação de servidor OpenSSH no Solaris 11.3. Quando eu construo o OpenSSH 7.7p1 a partir da fonte e instalo o make
morre no final depois de instalar os componentes:
$ sudo gmake install
...
/usr/gnu/bin/mkdir -p /usr/local/etc
/usr/local/etc/ssh_config already exists, install will not overwrite
/usr/local/etc/sshd_config already exists, install will not overwrite
/usr/local/etc/moduli already exists, install will not overwrite
/usr/local/sbin/sshd -t -f /usr/local/etc/sshd_config
Privilege separation user sshd does not exist
gmake: [check-config] Error 255 (ignored)
Quando verifico a instalação existente do Solaris:
$ /usr/bin/ssh -V
Sun_SSH_2.2, SSH protocols 1.5/2.0, OpenSSL 0x1000110f
$ sudo id sshd
id: invalid user name: "sshd"
$ cat /etc/ssh/sshd_config | grep -i privilege
$
Assim, o estoque OpenSSH é meio antigo e não usa o recurso.
Aqui estão meus pontos de discórdia:
Informações adicionais incluem (1) nenhuma informação útil sobre a instalação do Solaris nos documentos do OpenSSH, e (2) perguntas para a compilação do Solaris e instalação na lista de discussão do SSH ficaram sem resposta.
Então, minha pergunta é: eu (1) sigo o Solaris e descarto a separação de privilégios; ou (2) seguir as melhores práticas e usar a separação de privilégios?
Ou talvez uma combinação, como (1) usar separação de privilégio e (2) adicionar SSHD a uma função de rede? (Ainda estou investigando os outros controles de segurança aplicados ao /usr/lib/sunssh/lib/sshd
).