[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:33529] Re: OpenSSH UsePrivilegeSeparation

From: YAMAUCHI Tomohiro (山内朋浩) <handy-forml@xxxxxxxxxxx>
Subject: [debian-users:33529] Re: OpenSSH UsePrivilegeSeparation
Date: Tue, 2 Jul 2002 13:08:03 +0900
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
X-pgp-fingerprint: 4845 CA29 1E7F 6EE3 86B7 651B 26D5 9A72 6EEE 752C
X-url: https://www.handball.nu/~handy/
References: <20020702.104516.55840654.handy-forml@xxxxxxxxxxx> <20020702020207.5FB275381A@xxxxxxxxxxxxxxxxxxxxxx>
Message-id: <20020702.130449.1010695456.handy-forml@xxxxxxxxxxx>
X-mail-count: 33529
X-mailer: Mew version 3.0.52 on XEmacs 21.4.6 (Common Lisp)

山内です。

吉藤さんもありがとうございます。

> 武藤＠Debianぷろじぇくとです。
> 
> > woody (kernel 2.4.18-bf2.4) で ssh 3.4p1-1 にアップデート
> > しました。この環境でUsePrivilegeSeparation が有効に
> > 機能していることを確認するにはどうすればよいのでしょうか？
> 
> sshのプロセスをpsして、利用しているユーザー名のプロセスが存在すればよ
> いです。

なんとなく以前からそういう動作だったような気がして (^^;
UsePrivilegeSeparation no にしてみたら、確かに子プロセスも
root 権限で動いてますね。

1台しかホストがないし、わざわざ古いバージョンをインストール
するのも嫌だしなぁ、などと．．．
思考が手抜きだったようです _o_

> > とりあえず sshd_config に UsePrivilegeSeparation yes を
> > 追加して、(必要なのかよくわからないまま) /var/empty を
> > 
> > % ls -ld /var/empty
> > drwxr-xr-x    2 root     root           48 Jul  2 09:50 /var/empty
> > 
> > のように作成し、sshd を再起動してみましたが、debug mode の
> > メッセージなどを見てもよくわかりません (^^;
> 
> Debianのsshでは、PrivilegeSeparationはデフォルトでyesになっています。

はい、これだけはかろうじて DSA の記述だけで理解できて
いましたが、fail safe ということで書いています。

> /var/emptyとかはいらんです。

アクセスしている気配がないのでおかしいとは思ったんですが、
/etc/init.d/ssh にそのものずばり書いてありましたね。


以下、記憶も曖昧なので独り言モード (^^;
changelog を見るとディレクトリの作成は 3.4p1-1 で追加
したようですが、子プロセスは 3.4p1-0 の時も一般ユーザに
なっていた気がしますし、sshd_config に
UsePrivilegeSeparation yes を記述していても、ちゃんと
起動しました。
でも、3.4p1-1 ではディレクトリがないまま起動しようと
すると、
Missing privilege separation directory: /var/run/sshd
っていうエラーで起動できないですね。
やはり、漠然とアップデートしていてはいけませんね。

--
山内 朋浩		handy-forml@xxxxxxxxxxx

References:
- [debian-users:33525] OpenSSH UsePrivilegeSeparation
  - From: 山内朋浩
- [debian-users:33527] Re: OpenSSH UsePrivilegeSeparation
  - From: Kenshi Muto

Prev by Date: [debian-users:33528] Re: OpenSSH UsePrivilegeSeparation
Next by Date: [debian-users:33530] Windows マシンで Debian ブータブル CD を作成するには (was Re: VersaPro への potato のインストール)
Previous by thread: [debian-users:33528] Re: OpenSSH UsePrivilegeSeparation
Next by thread: [debian-users:33537] mysql のインストールに関して
Index(es):
- Date
- Thread