Solaris 11.3 に OpenSSH サーバーをインストールしています。ソースからOpenSSH 7.7p1をビルドしてインストールすると、コンポーネントのインストールmake後に最後に終了します。
$ sudo gmake install
...
/usr/gnu/bin/mkdir -p /usr/local/etc
/usr/local/etc/ssh_config already exists, install will not overwrite
/usr/local/etc/sshd_config already exists, install will not overwrite
/usr/local/etc/moduli already exists, install will not overwrite
/usr/local/sbin/sshd -t -f /usr/local/etc/sshd_config
Privilege separation user sshd does not exist
gmake: [check-config] Error 255 (ignored)
既存の Solaris インストールを確認する場合:
$ /usr/bin/ssh -V
Sun_SSH_2.2, SSH protocols 1.5/2.0, OpenSSL 0x1000110f
$ sudo id sshd
id: invalid user name: "sshd"
$ cat /etc/ssh/sshd_config | grep -i privilege
$
したがって、既存のOpenSSHは少し古く、その機能を使用しません。
私の主張は次のとおりです。
- 権限分離がすでに存在しています。少なくとも2003年以降
- OpenSSH移植性チームは、このプラットフォームで権限分離を使用することにしました。
- Solaris チームは権限の分離が必要だと判断しました。いいえこのプラットフォームで利用可能
- Solarisは、権限の分離の代わりに無料のセキュリティ制御(役割など)を提供できます。
追加情報には、(1)OpenSSHのマニュアルにSolarisのインストールに関する有用な情報がないこと、および(2)Solarisのビルドとインストールに関するSSHメーリングリストに回答がない質問が含まれています。
それで、私の質問は、(1)Solarisに従い、権限分離を放棄するのか、それとも(2)ベストプラクティスに従い、権限分離を使用するのかということです。
それとも、(1)権限分離を使用して(2)SSHDをネットワークロールに追加するのと同じ組み合わせですか? (まだ他のセキュリティ制御が適用されているか調べています/usr/lib/sunssh/lib/sshd。)