루트 도용 및 무차별 공격으로부터 사용자의 SSH 개인 키를 보호하는 방법은 무엇입니까? selinux를 사용하는데 업체에서 해당 애플리케이션을 지원하지 않아서 사용할 수 없나요? 감사해요
답변1
시스템에 개인 키를 두지 마십시오. 사용자는 SSH 에이전트 전달과 같은 기능을 사용하고 워크스테이션에 키를 저장할 수 있습니다. 또는 스마트 카드와 같은 하드웨어 보안 모듈(HSM)을 사용하십시오(하드웨어에서는 키 복사를 허용하지 않습니다). 이는 시스템(루트 포함)의 모든 항목이 키를 복사하는 것을 방지하지만 루트는 HSM에 연결할 때 키를 사용할 수 있습니다. 물론 보조 인증을 통해 HSM을 얻을 수도 있습니다. 예를 들어 키를 사용할 때마다 HSM 자체의 키패드를 통해 PIN을 입력해야 합니다.
SELinux나 유사한 시스템이 없으면 루트는 시스템에서 모든 작업(파일 읽기/쓰기, 프로세스의 메모리 덤프 등)을 수행할 수 있습니다.