更新#1:
我想解决新手Fedora用户的企业问题 – 没有USB令牌等.他们可能会使用非常弱的密码短语.如果只有root用户和ssh客户端程序可以访问私钥,那就没问题.实际的人类用户无需查看私钥 – 我不知道为任何人查看私钥的原因,甚至一次.
我怎样才能做到这一点?建议使用SELinux.
解决方法
但是,如果你担心一些不是shell的东西,请记住很多漏洞使你获得shell,AppArmour可以用这种方式约束文件系统权限,虽然我相信在主目录中做这个有点管理多用户系统更加棘手.
SELinux也可以做到这一点; you put a security label on the files and only allow ssh to read them.
请记住,用户通常能够创建自己的SSH密钥,并且通常是他们的所有者,这意味着他们可以调整任何标签和权限.这是一个存在的假设.
如果您要运行病毒,您可以遵循一些规则,这将使您比以下任何一个更安全:
>故意运行病毒的机器应该有些孤立.具体来说,他们应该无法作为任何东西的跳跃盒.它们应该具有有限的网络访问权限(在它们自己的VLAN上),直到最低要求.他们永远不应该拥有像X.509私钥或SSH私钥这样的凭据,这将允许他们对任何东西进行身份验证.
>您需要保持快速离线重建这些计算机的能力.这使得快照虚拟机非常适合这种类型的研究.
>您关心的任何内容都不应存储在用于运行病毒的计算机上.
>如果病毒是您自己制造的或者您的操作在您的控制之下,请尽可能使它们变得惰性. C& C地址应该是黑洞(192.0.2.1,为测试和文档保留的IP,是一个很好的; 0.0.0.0也可以是合适的; blackhole.iana.org是一个很好的DNS名称).如果它们需要是真实地址,您可以在受限网络上为它们托管特殊测试C& C.
>如果您使用其他人的C& C和您无法控制的病毒,请务必小心.如果您这样做,最好是在本地控制台上以任何方式在与LAN无关的单独Internet连接上进行.
如果您担心意外运行病毒,selinux可能会帮助您,尽管真正的解决方案是常识和应有的谨慎.
您还可以使用密码保护您的私钥,这会使它们被加密,尽管病毒可以让您的按键绕过它.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
