Solaris 11.3 和 SSHD 权限分离

Solaris 11.3 和 SSHD 权限分离

我正在 Solaris 11.3 上安装 OpenSSH 服务器。当我从源代码构建 OpenSSH 7.7p1 并安装它时,它make在安装组件后最后死掉了:

$ sudo gmake install
...

/usr/gnu/bin/mkdir -p /usr/local/etc
/usr/local/etc/ssh_config already exists, install will not overwrite
/usr/local/etc/sshd_config already exists, install will not overwrite
/usr/local/etc/moduli already exists, install will not overwrite
/usr/local/sbin/sshd -t -f /usr/local/etc/sshd_config
Privilege separation user sshd does not exist
gmake: [check-config] Error 255 (ignored)

当我检查 Solaris 的现有安装时:

$ /usr/bin/ssh -V
Sun_SSH_2.2, SSH protocols 1.5/2.0, OpenSSL 0x1000110f

$ sudo id sshd
id: invalid user name: "sshd"

$ cat /etc/ssh/sshd_config | grep -i privilege
$

所以现有的 OpenSSH 有点旧并且不使用该功能。

以下是我的争论点:

  • 特权分离已经存在至少从 2003 年开始
  • OpenSSH 可移植性团队决定在此平台上使用权限分离
  • Solaris 团队决定决定特权分离应该不是可以在这个平台上使用
  • Solaris 可以提供免费的安全控制(例如角色)来代替特权分离

其他信息包括 (1) OpenSSH 文档中没有有关 Solaris 安装的有用信息,以及 (2) SSH 邮件列表中有关 Solaris 构建和安装的问题没有得到解答。

所以我的问题是,我是否 (1) 遵循 Solaris 并放弃特权分离;或者(2)遵循最佳实践并使用权限分离?

或者也许是一种组合,例如 (1) 使用权限分离和 (2) 将 SSHD 添加到网络角色? (我仍在调查适用于的其他安全控制/usr/lib/sunssh/lib/sshd)。

相关内容