从根保护帐户ssh密钥

Question

如何保护用户ssh私钥不被盗取并试图强行使用？我不能使用selinux，因为厂商在使用时不支持该应用程序？谢谢

Answer 1

不要把钥匙从你自己的和维护的硬件中泄露出去。如果您没有根目录在您的计算机，用户智能卡(或Yubikey)。

如前所述，没有任何东西可以保护您的密钥(或数据)不受物理访问和root用户的影响。甚至连SELinux (根都可以做任何事情，如果没有限制的话！)。密码学只做部分工作(加密的密钥可以是暴力强制的，但如果你有足够强的密码，这是不可行的)。但是可信的硬件不能被强制使用，而且你知道它是什么时候使用的(需要确认，针，什么的)。

Answer 2

您确实需要SELinux，或者像AppArmor、拍打拍打或AKARI/TOMOYO这样的替代方案。

以SELinux系统管理一书中的例子为例--

再次考虑影子文件的示例。可以配置MAC系统，使文件只能由特定进程读取和写入。以root用户身份登录的用户不能直接访问文件，甚至不能移动文件。他甚至不能更改文件的属性：

root# id uid=0(root) gid=0(root) root# cat /etc/影子猫:/etc/阴影:权限被拒绝root# chmod a+r /etc/影子:更改‘/etc/阴影’的权限:权限被拒绝

这是通过描述何时可以读取文件内容的规则强制执行的。使用SELinux，这些规则在SELinux策略中定义，并在系统启动时加载。负责执行规则的是Linux内核本身，并通过LSM ()执行。