Solaris 11.3에 OpenSSH 서버를 설치하고 있습니다. 소스에서 OpenSSH 7.7p1을 빌드하고 설치하면 make구성 요소를 설치한 후 마지막에 종료됩니다.
$ sudo gmake install
...
/usr/gnu/bin/mkdir -p /usr/local/etc
/usr/local/etc/ssh_config already exists, install will not overwrite
/usr/local/etc/sshd_config already exists, install will not overwrite
/usr/local/etc/moduli already exists, install will not overwrite
/usr/local/sbin/sshd -t -f /usr/local/etc/sshd_config
Privilege separation user sshd does not exist
gmake: [check-config] Error 255 (ignored)
기존 Solaris 설치를 확인하는 경우:
$ /usr/bin/ssh -V
Sun_SSH_2.2, SSH protocols 1.5/2.0, OpenSSL 0x1000110f
$ sudo id sshd
id: invalid user name: "sshd"
$ cat /etc/ssh/sshd_config | grep -i privilege
$
그래서 기존 OpenSSH는 좀 오래되어 해당 기능을 사용하지 않습니다.
내 주장은 다음과 같습니다.
- 권한 분리가 이미 존재합니다.적어도 2003년 이후
- OpenSSH 이식성 팀은 이 플랫폼에서 권한 분리를 사용하기로 결정했습니다.
- Solaris 팀은 권한 분리가 필요하다고 결정했습니다.아니요이 플랫폼에서 사용 가능
- Solaris는 권한 분리 대신 무료 보안 제어(예: 역할)를 제공할 수 있습니다.
추가 정보에는 (1) OpenSSH 설명서에 Solaris 설치에 관한 유용한 정보가 없다는 것과 (2) Solaris 빌드 및 설치에 관해 SSH 메일링 목록에 답변이 없는 질문이 포함되어 있습니다.
그래서 제 질문은, (1) 솔라리스를 따르고 권한 분리를 포기할 것인가, 아니면 (2) 모범 사례를 따르고 권한 분리를 사용할 것인가입니다.
아니면 (1) 권한 분리를 사용하고 (2) SSHD를 네트워크 역할에 추가하는 것과 같은 조합일까요? (아직 다른 보안 제어가 적용되는지 조사 중입니다 /usr/lib/sunssh/lib/sshd.)