如何使用SELinux策略限制对私有ssh密钥的访问?

前端之家收集整理的这篇文章主要介绍了如何使用SELinux策略限制对私有ssh密钥的访问?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在使用Fedora发行版 – 预装了SE Linux政策.我想在〜/ .ssh文件夹中限制对我的私钥的不安全访问 – 以防止可能在我的帐户下运行的恶意软件泄露.根套件是不可能的.

更新#1:
我想解决新手Fedora用户的企业问题 – 没有USB令牌等.他们可能会使用非常弱的密码短语.如果只有root用户和ssh客户端程序可以访问私钥,那就没问题.实际的人类用户无需查看私钥 – 我不知道为任何人查看私钥的原因,甚至一次.

我怎样才能做到这一点?建议使用SELinux.

解决方法

从允许使用私钥的人那里隐藏私钥的适当方法是硬件安全模块(智能卡或其他适用的东西).您可以通过SSH密钥进行一些努力(谷歌搜索出现 this tutorial about it with some clunky hardware and GPG).

但是,如果你担心一些不是shell的东西,请记住很多漏洞使你获得shell,AppArmour可以用这种方式约束文件系统权限,虽然我相信在主目录中做这个有点管理多用户系统更加棘手.

SELinux也可以做到这一点; you put a security label on the files and only allow ssh to read them.

请记住,用户通常能够创建自己的SSH密钥,并且通常是他们的所有者,这意味着他们可以调整任何标签和权限.这是一个存在的假设.

如果您要运行病毒,您可以遵循一些规则,这将使您比以下任何一个更安全:

>故意运行病毒的机器应该有些孤立.具体来说,他们应该无法作为任何东西的跳跃盒.它们应该具有有限的网络访问权限(在它们自己的VLAN上),直到最低要求.他们永远不应该拥有像X.509私钥或SSH私钥这样的凭据,这将允许他们对任何东西进行身份验证.
>您需要保持快速离线重建这些计算机的能力.这使得快照虚拟机非常适合这种类型的研究.
>您关心的任何内容都不应存储在用于运行病毒的计算机上.
>如果病毒是您自己制造的或者您的操作在您的控制之下,请尽可能使它们变得惰性. C& C地址应该是黑洞(192.0.2.1,为测试和文档保留的IP,是一个很好的; 0.0.0.0也可以是合适的; blackhole.iana.org是一个很好的DNS名称).如果它们需要是真实地址,您可以在受限网络上为它们托管特殊测试C& C.
>如果您使用其他人的C& C和您无法控制的病毒,请务必小心.如果您这样做,最好是在本地控制台上以任何方式在与LAN无关的单独Internet连接上进行.

如果您担心意外运行病毒,selinux可能会帮助您,尽管真正的解决方案是常识和应有的谨慎.

您还可以使用密码保护您的私钥,这会使它们被加密,尽管病毒可以让您的按键绕过它.

原文链接:https://www.f2er.com/linux/398262.html

猜你在找的Linux相关文章