[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:33529] Re: OpenSSH UsePrivilegeSeparation



山内です。

吉藤さんもありがとうございます。

> 武藤@Debianぷろじぇくとです。
> 
> > woody (kernel 2.4.18-bf2.4) で ssh 3.4p1-1 にアップデート
> > しました。この環境でUsePrivilegeSeparation が有効に
> > 機能していることを確認するにはどうすればよいのでしょうか?
> 
> sshのプロセスをpsして、利用しているユーザー名のプロセスが存在すればよ
> いです。

なんとなく以前からそういう動作だったような気がして (^^;
UsePrivilegeSeparation no にしてみたら、確かに子プロセスも
root 権限で動いてますね。

1台しかホストがないし、わざわざ古いバージョンをインストール
するのも嫌だしなぁ、などと...
思考が手抜きだったようです _o_

> > とりあえず sshd_config に UsePrivilegeSeparation yes を
> > 追加して、(必要なのかよくわからないまま) /var/empty を
> > 
> > % ls -ld /var/empty
> > drwxr-xr-x    2 root     root           48 Jul  2 09:50 /var/empty
> > 
> > のように作成し、sshd を再起動してみましたが、debug mode の
> > メッセージなどを見てもよくわかりません (^^;
> 
> Debianのsshでは、PrivilegeSeparationはデフォルトでyesになっています。

はい、これだけはかろうじて DSA の記述だけで理解できて
いましたが、fail safe ということで書いています。

> /var/emptyとかはいらんです。

アクセスしている気配がないのでおかしいとは思ったんですが、
/etc/init.d/ssh にそのものずばり書いてありましたね。


以下、記憶も曖昧なので独り言モード (^^;
changelog を見るとディレクトリの作成は 3.4p1-1 で追加
したようですが、子プロセスは 3.4p1-0 の時も一般ユーザに
なっていた気がしますし、sshd_config に
UsePrivilegeSeparation yes を記述していても、ちゃんと
起動しました。
でも、3.4p1-1 ではディレクトリがないまま起動しようと
すると、
Missing privilege separation directory: /var/run/sshd
っていうエラーで起動できないですね。
やはり、漠然とアップデートしていてはいけませんね。

--
山内 朋浩		handy-forml@xxxxxxxxxxx