OpenSSH 제어 소켓을 /run에 배치합니다.

OpenSSH 제어 소켓을 /run에 배치합니다.

OpenSSH에는 제어 소켓을 통해 연결을 재사용할 수 있는 기능이 있습니다. 공용 액세스 소켓이 제기하는 보안 문제로 인해 이러한 제어 소켓은 공용 영역에 있어서는 안 된다는 것이 일반적으로 받아들여지고 있습니다.

소켓 위치와 같은 것을 사용하는 것도 ~/.ssh/sockets일반적인 전략입니다. 이것은 내가 한동안 씨름해왔던 문제를 야기합니다.

기본 프로세스가 강제 종료되고 정리가 완료되지 않으면 소켓 저장소는 수동으로 정리해야 하는 나머지 소켓으로 채워집니다. 이러한 상황의 예로는 정전이나 기타 하드웨어 오류가 있습니다.

최신 Linux 배포판에는 /run휘발성 런타임 데이터와 /run/user/<uid>사용자별 휘발성 런타임 데이터가 포함되어 있습니다. 이 디렉터리는 소유자만 액세스할 수 있으며 사용자를 위해 시스템에서 생성됩니다.

제어 소켓이 이 설명에 완벽하게 부합한다는 점을 고려하여 소켓을 그곳으로 옮기게 되어 기쁩니다. 그러나 사용자의 UID에 대해 디렉터리가 생성되는 동안 사용자 이름으로만 현재 사용자의 주소를 지정할 수 있도록 허용하는 OpenSSH 구성에는 몇 가지 문제가 있습니다. 호스트 간에 일반 구성을 공유하므로 구성에 UID를 하드코딩하고 싶지 않습니다.

저는 시작 시 소켓을 지우는 일반적인 OpenSSH 구성을 사용할 수 있는 깔끔한 솔루션을 찾고 있습니다.

답변1

2016년 2월에 출시된 OpenSSH 7.2부터 숫자 UID까지 확장된 표현식이 %i지원됩니다 .ControlPath

예를 들어,

ControlPath /run/user/%i/master-%l-%r@%h:%p

또는 최신 OpenSSH를 사용할 수 없는 경우 이를 사용하여 /dev/shm임시 데이터를 저장하는 것을 고려할 수 있습니다. 그것은 세계적으로 쓰기 가능하며 항상 그랬습니다 tmpfs. 다른 사용자가 접근할 수는 있지만 컨트롤 소켓 자체에는 적절한 접근 권한이 있으므로 안전할 것입니다.

https://superuser.com/questions/45342/when-should-i-use-dev-shm-and-when-should-i-use-tmp

관련 정보