从根保护帐户ssh密钥

Question

如何保护用户ssh私钥不被盗取并试图强行使用？我不能使用selinux，因为厂商在使用时不支持该应用程序？谢谢

Answer 1

别把私钥放在系统上。用户可以使用SSH代理转发并将密钥保存在他们的工作站上。或者使用硬件安全模块(HSM)，如智能卡(其中硬件拒绝允许您复制密钥)。这两种方法都可以防止系统上的任何东西(包括根)复制键，但是根用户在连接HSM时可能能够使用它们。当然，您可以获得具有辅助身份验证的HSM来提供帮助(例如，每次使用密钥时都必须输入PIN--通过HSM本身上的一个键盘)。

在没有SELinux或类似的情况下，根可以在系统上执行任何操作--读/写任何文件、转储任何进程的内存等等。