nowe sshd
Jakub Bogusz
qboosh w pld.org.pl
Wto, 25 Cze 2002, 12:17:45 CEST
On Tue, Jun 25, 2002 at 12:06:28PM +0200, Tomasz Kłoczko wrote:
> On Mon, 24 Jun 2002, Lukasz Trabinski wrote:
> > Privilege separation, or privsep, is method in OpenSSH by which
> > operations that require root privilege are performed by a separate
> > privileged monitor process. Its purpose is to prevent privilege
> > escalation by containing corruption to an unprivileged process.
> > More information is available at:
> > http://www.citi.umich.edu/u/provos/ssh/privsep.html
> >
> > Privilege separation is now enabled by default; see the
> > UsePrivilegeSeparation option in sshd_config(5).
> >
> > On systems which lack mmap or anonymous (MAP_ANON) memory mapping,
> > compression must be disabled in order for privilege separation to
> > function.
>
> Wszystko piknie ale akurat Linux wspiera i mmap() jaki i mmap() z
> MAP_ANON. Także na moje oko to to jest w tym wypadku niepotrzebne.
Niepotrzebne jest tylko wyłączanie kompresji.
Natomiast teraz bardzo istotne i pilne jest, co zrobić z pam_limits,
bo to _uniemożliwia_ zdalne zalogowanie się przy ustawionym limicie
core >0.
Pomaga s/ulimit -c 0/ulimit -S -c 0/ w /etc/rc.d/init.d/functions,
ale to "ulimit -c 0" było nie tylko ze względów estetycznych...
--
Jakub Bogusz
Więcej informacji o liście dyskusyjnej pld-devel-pl