Почему собственность группы ssh-agent не является root

Попытка понять, почему ssh-agent имеет бит sgid и нашел это сообщение. Ssh-agent имеет sgid

У меня есть еще один вопрос: почему групповое владение ssh-agent никого не коррумпировано? В чем причина этого? Будет ли он работать, если владение группы является корневым?

2 Solutions collect form web for “Почему собственность группы ssh-agent не является root”

Если это был setgid root, тогда агент будет работать как групповой root , который, вероятно, имеет более широкие права доступа, чем пользователь, которого он начал как. Это может быть угрозой безопасности; по крайней мере, запускать что-то как root без необходимости – это красный флаг (даже группа) и требует дополнительной внимательности.

Невозможно установить принадлежность группы к группе, которая не должна иметь никаких значимых разрешений или файлов, означает, что ssh-agent не получает больше прав, чем пользователь начал . Как говорится в связанном вопросе, причина, по которой он установлен, в первую очередь заключается в том, чтобы предотвратить ptracing для программы, а не потому, что на самом деле ей нужны разные разрешения. В обсуждении темы, связанной с другим вопросом , один из разработчиков отмечает:

казалось бы, группа не имеет никакого значения. Это факт, что двоичный файл является setgid anygroup, что важно.

nobody является удобной группой для использования, когда вам нужен только побочный эффект setgid, а не поведение.

Я предполагаю, что это все равно будет работать с setgid root. Я просто попробовал это здесь, и он вообще не жаловался и, казалось, работал в беглых тестах. Тем не менее, я не могу думать о какой-либо реальной причине, чтобы изменить его на это – все, кажется, лучше с ним работать как группа nobody чем групповой root .

Я не предлагаю изменять разрешения файлов, установленных вашим диспетчером пакетов, в любом случае, потому что они склонны расстраиваться по поводу любых изменений в файлах, которые они контролируют.

Точка создания ssh-agent setgid заключается в повышении безопасности, что делает процесс невозможным для отладки, так что даже процесс, выполняющийся как один и тот же пользователь, не может выгружать ключи из памяти.

ssh-agent не должен иметь дополнительных привилегий. В случае наличия уязвимости в ssh-agent , если она установлена ​​в какой-либо группе, это дает пользователю привилегии этой группы. Поэтому запуск ssh-agent setgid повышает риск безопасности … если только группа, в которой работает ssh-agent , фактически не имеет никаких прав, в частности, не имеет права на запись ни на какой файл.

Лучший способ запустить программу setgid без влияния на другие программы – использовать выделенную группу. Это то, что делает Debian, например: ssh-agent работает как группа ssh . Fedora использует группу nobody , которая является более дожительной, но все еще в порядке, поскольку ни один файл не должен принадлежать группе nobody . root группы будет плохой идеей, потому что у нее много файлов.

  • Передача агента SSH, множественный перехват
  • Зачем мне нужно вводить кодовую фразу для ключа RSA на удаленном хосте после SSH?
  • Избегайте отдельного добавления ключей ssh ​​(с паролем) в сеансы оболочки
  • Как заставить ssh-agent работать во всех терминалах?
  • Автоматически разблокировать ключи на удаленном узле, доступ к которому осуществляется через SSH
  • ssh-add добавить все закрытые ключи в .ssh каталог
  • Судоподобная утилита для ssh или, по крайней мере, git в частности?
  • Как организовать ключи SSH?
  • ssh-add не поддерживается между перезагрузками
  • Как я могу предупредить ssh-agent при использовании определенного ключа?
  • ssh-agent: не пересылать аутентификацию для всего брелока
  • gpg-agent отказывается от SSH-ключей с сообщением ssh-add «агент отказался от операции»
  • Interesting Posts

    Почему zone.tab пропускает так много часовых поясов?

    Debian 8 – Обновление Iptables при загрузке

    Ошибка Kino: ПРЕДУПРЕЖДЕНИЕ: модуль ядра dv1394 не загружен или отсутствует чтение / запись / dev / raw1394 на Fedora 20, dvgrab works

    пусть скрипт найдет путь сам по себе

    Переместите свободное пространство с конца диска на первый раздел с gparted

    команда / opt / bin / date -date '-15 минут 2016-04-27T14: 14: 47' результат за много часов до указанного времени

    ping не работает только для Google

    hostapd, ath5k, nl80211 – как заставить его работать?

    Что такое «нет» для точек подключения и почему точки монтирования одного и того же типа ниже / работают?

    Почему yum всегда загружает Fedora 22-x86_x64 перед установкой чего-либо?

    Почему apt-get отказывается устанавливать cdefs.h (помимо символической ссылки)?

    Как правильно распределять пропускную способность между IP-адресами с помощью tc?

    Несовместимые версии libsqlite3-0 (i386 и amd64) блокируют друг друга

    Является ли сценарий запущенным внутри подстановки команд?

    Как вставить текущее имя файла в содержимое Vim?

    Linux и Unix - лучшая ОС в мире.