Separação de privilégios do Solaris 11.3 e SSHD

0

Estou trabalhando em uma instalação de servidor OpenSSH no Solaris 11.3. Quando eu construo o OpenSSH 7.7p1 a partir da fonte e instalo o make morre no final depois de instalar os componentes:

$ sudo gmake install
...

/usr/gnu/bin/mkdir -p /usr/local/etc
/usr/local/etc/ssh_config already exists, install will not overwrite
/usr/local/etc/sshd_config already exists, install will not overwrite
/usr/local/etc/moduli already exists, install will not overwrite
/usr/local/sbin/sshd -t -f /usr/local/etc/sshd_config
Privilege separation user sshd does not exist
gmake: [check-config] Error 255 (ignored)

Quando verifico a instalação existente do Solaris:

$ /usr/bin/ssh -V
Sun_SSH_2.2, SSH protocols 1.5/2.0, OpenSSL 0x1000110f

$ sudo id sshd
id: invalid user name: "sshd"

$ cat /etc/ssh/sshd_config | grep -i privilege
$

Assim, o estoque OpenSSH é meio antigo e não usa o recurso.

Aqui estão meus pontos de discórdia:

  • A separação de privilégios existe desde desde pelo menos 2003
  • A equipe de portabilidade do OpenSSH decidiu que a separação de privilégios deve ser usada nesta plataforma
  • A equipe do Solaris decidiu que a separação de privilégios não deveria ser usada nessa plataforma
  • O Solaris pode fornecer controles de segurança complementares, como funções, em vez da separação de privilégios

Informações adicionais incluem (1) nenhuma informação útil sobre a instalação do Solaris nos documentos do OpenSSH, e (2) perguntas para a compilação do Solaris e instalação na lista de discussão do SSH ficaram sem resposta.

Então, minha pergunta é: eu (1) sigo o Solaris e descarto a separação de privilégios; ou (2) seguir as melhores práticas e usar a separação de privilégios?

Ou talvez uma combinação, como (1) usar separação de privilégio e (2) adicionar SSHD a uma função de rede? (Ainda estou investigando os outros controles de segurança aplicados ao /usr/lib/sunssh/lib/sshd ).

    
por jww 23.07.2018 / 16:04

0 respostas