Почему собственность группы ssh-agent не является root

Попытка понять, почему ssh-agent имеет бит sgid и нашел это сообщение. Ssh-agent имеет sgid

У меня есть еще один вопрос: почему групповое владение ssh-agent никого не коррумпировано? В чем причина этого? Будет ли он работать, если владение группы является корневым?

  • Есть ли способ проверить пользовательский SSH-ключ, чтобы увидеть, является ли кодовая фраза пустой
  • Как включить обмен ключами diffie-hellman-group1-sha1 на Debian 8.0?
  • Как я могу предупредить ssh-agent при использовании определенного ключа?
  • ssh-agent: не пересылать аутентификацию для всего брелока
  • Перенаправление агента SSH на сервере
  • Как остановить ssh-agent при попытке всех ключей с пересылкой агента?
  • Обнаружение оставшегося времени жизни идентификатора ssh-agent
  • Как назначить ssh переадресованному агенту над файлом удостоверения?
  • 2 Solutions collect form web for “Почему собственность группы ssh-agent не является root”

    Если это был setgid root, тогда агент будет работать как групповой root , который, вероятно, имеет более широкие права доступа, чем пользователь, которого он начал как. Это может быть угрозой безопасности; по крайней мере, запускать что-то как root без необходимости – это красный флаг (даже группа) и требует дополнительной внимательности.

    Невозможно установить принадлежность группы к группе, которая не должна иметь никаких значимых разрешений или файлов, означает, что ssh-agent не получает больше прав, чем пользователь начал . Как говорится в связанном вопросе, причина, по которой он установлен, в первую очередь заключается в том, чтобы предотвратить ptracing для программы, а не потому, что на самом деле ей нужны разные разрешения. В обсуждении темы, связанной с другим вопросом , один из разработчиков отмечает:

    казалось бы, группа не имеет никакого значения. Это факт, что двоичный файл является setgid anygroup, что важно.

    nobody является удобной группой для использования, когда вам нужен только побочный эффект setgid, а не поведение.

    Я предполагаю, что это все равно будет работать с setgid root. Я просто попробовал это здесь, и он вообще не жаловался и, казалось, работал в беглых тестах. Тем не менее, я не могу думать о какой-либо реальной причине, чтобы изменить его на это – все, кажется, лучше с ним работать как группа nobody чем групповой root .

    Я не предлагаю изменять разрешения файлов, установленных вашим диспетчером пакетов, в любом случае, потому что они склонны расстраиваться по поводу любых изменений в файлах, которые они контролируют.

    Точка создания ssh-agent setgid заключается в повышении безопасности, что делает процесс невозможным для отладки, так что даже процесс, выполняющийся как один и тот же пользователь, не может выгружать ключи из памяти.

    ssh-agent не должен иметь дополнительных привилегий. В случае наличия уязвимости в ssh-agent , если она установлена ​​в какой-либо группе, это дает пользователю привилегии этой группы. Поэтому запуск ssh-agent setgid повышает риск безопасности … если только группа, в которой работает ssh-agent , фактически не имеет никаких прав, в частности, не имеет права на запись ни на какой файл.

    Лучший способ запустить программу setgid без влияния на другие программы – использовать выделенную группу. Это то, что делает Debian, например: ssh-agent работает как группа ssh . Fedora использует группу nobody , которая является более дожительной, но все еще в порядке, поскольку ни один файл не должен принадлежать группе nobody . root группы будет плохой идеей, потому что у нее много файлов.

    Interesting Posts

    запуск сценария с помощью ". "И с" источником "

    Является ли `open ()`, `mmap ()`, или нет, более фундаментальная функция?

    Grub не работает после установки Arch в систему EFI, как ее исправить / переустановить?

    Удалите N-ю строку из обоих файлов, если строка в одном файле соответствует

    Временные метки каталога?

    Как fcron знает, была ли выполнена работа?

    scp не работает без пароля

    (/ etc / sysconfig / iptables) «Ручная настройка этого файла не рекомендуется». Почему?

    Команда realm не работает корректно при использовании в скрипте (CentOS 7)

    Как я могу запретить драйверам связывать USB-устройства с определенной шиной?

    После входа или выхода оболочка зависает для определенного пользователя, пока не нажимает Ctrl + C

    xubuntu 16.04 – размещение окна в определенном месте

    sipe (плагин pidgin-gaim) не может найти заголовки libpurple

    Как история работает в рыбной раковине?

    Как создать ограниченную очередь для задач оболочки?

    Linux и Unix - лучшая ОС в мире.