Come possono gli utenti ssh le chiavi private essere protette da root rubando e tentando di forzarle? Non posso usare selinux in quanto il produttore non supporta l'app quando è in uso? Grazie
Come possono gli utenti ssh le chiavi private essere protette da root rubando e tentando di forzarle? Non posso usare selinux in quanto il produttore non supporta l'app quando è in uso? Grazie
Non consegnare le chiavi al tuo hardware di proprietà e mantenuto. Se non hai una root sul tuo computer, user Smart Card (o Yubikey).
Come già detto, nulla protegge le tue chiavi (o dati) dall'accesso fisico e root utente. Neanche SELinux (la radice può fare tutto, se non è definita!). La crittografia esegue il lavoro solo parzialmente (le chiavi crittografate possono essere forzate brute, ma non è fattibile se la frase d'accesso è abbastanza strong). Ma l'hardware fidato non può essere forzato bruto e tu sai esattamente quando viene usato (richiede conferma, pin, qualunque cosa).
Vuoi davvero SELinux, o un'alternativa come AppArmor , SMACK , o AKARI / TOMOYO .
Prendi questi esempi dal libro SELinux System Administration -
Considera di nuovo l'esempio del file shadow. Un sistema MAC può essere configurato in modo che il file possa essere letto e scritto solo da particolari processi. Un utente che ha effettuato l'accesso come utente root non può accedere direttamente al file o spostarlo. Non può nemmeno cambiare gli attributi del file:
root# id uid=0(root) gid=0(root)
root# cat /etc/shadow
cat: /etc/shadow: Permission denied
root# chmod a+r /etc/shadow
chmod: changing permissions of '/etc/shadow': Permission denied
Questo è applicato attraverso regole che descrivono quando il contenuto di un file può essere letto. Con SELinux, queste regole sono definite nel criterio SELinux e vengono caricate all'avvio del sistema. È lo stesso kernel Linux che è responsabile dell'applicazione delle regole, e lo fa tramite LSM (Linux Security Modules).