[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:33529] Re: OpenSSH UsePrivilegeSeparation
山内です。
吉藤さんもありがとうございます。
> 武藤@Debianぷろじぇくとです。
>
> > woody (kernel 2.4.18-bf2.4) で ssh 3.4p1-1 にアップデート
> > しました。この環境でUsePrivilegeSeparation が有効に
> > 機能していることを確認するにはどうすればよいのでしょうか?
>
> sshのプロセスをpsして、利用しているユーザー名のプロセスが存在すればよ
> いです。
なんとなく以前からそういう動作だったような気がして (^^;
UsePrivilegeSeparation no にしてみたら、確かに子プロセスも
root 権限で動いてますね。
1台しかホストがないし、わざわざ古いバージョンをインストール
するのも嫌だしなぁ、などと...
思考が手抜きだったようです _o_
> > とりあえず sshd_config に UsePrivilegeSeparation yes を
> > 追加して、(必要なのかよくわからないまま) /var/empty を
> >
> > % ls -ld /var/empty
> > drwxr-xr-x 2 root root 48 Jul 2 09:50 /var/empty
> >
> > のように作成し、sshd を再起動してみましたが、debug mode の
> > メッセージなどを見てもよくわかりません (^^;
>
> Debianのsshでは、PrivilegeSeparationはデフォルトでyesになっています。
はい、これだけはかろうじて DSA の記述だけで理解できて
いましたが、fail safe ということで書いています。
> /var/emptyとかはいらんです。
アクセスしている気配がないのでおかしいとは思ったんですが、
/etc/init.d/ssh にそのものずばり書いてありましたね。
以下、記憶も曖昧なので独り言モード (^^;
changelog を見るとディレクトリの作成は 3.4p1-1 で追加
したようですが、子プロセスは 3.4p1-0 の時も一般ユーザに
なっていた気がしますし、sshd_config に
UsePrivilegeSeparation yes を記述していても、ちゃんと
起動しました。
でも、3.4p1-1 ではディレクトリがないまま起動しようと
すると、
Missing privilege separation directory: /var/run/sshd
っていうエラーで起動できないですね。
やはり、漠然とアップデートしていてはいけませんね。
--
山内 朋浩 handy-forml@xxxxxxxxxxx