如何保护用户 ssh 私钥免遭 root 窃取并尝试暴力破解?我无法使用 selinux,因为供应商在使用该应用程序时不支持该应用程序?谢谢
答案1
不要将私钥放在系统上。用户可以使用 SSH 代理转发等功能并将密钥保存在其工作站上。或者使用硬件安全模块 (HSM),例如智能卡(硬件不允许您复制密钥)。这些都可以防止系统上的任何内容(包括 root)复制密钥,但 root 在连接 HSM 时可能能够使用它们。当然,您可以获得具有辅助身份验证的 HSM 来提供帮助(例如,每次使用密钥时都必须通过 HSM 本身上的键盘输入 PIN)。
如果没有 SELinux 或类似的系统,root 就可以在系统上执行任何操作 — 读/写任何文件、转储任何进程的内存等。