Re: Connexion par clef SSH infructueuse

トップ ページ

このメッセージに返信
著者: Vincent Caron
日付:  
To: guilde Guilde
題目: Re: Connexion par clef SSH infructueuse
On mar., 2012-01-24 at 18:34 +0100, ymartin59@??? wrote:
> En quoi le /home restreint empêche-t-il OpenSSH (qui est root avant
> authentification) d'aller lire le ".ssh/authorized_keys" ? Aurait-il
> déjà fait le fork/setuid à ce moment-là ?


On dirait bien. Dans openssh-5.9p1/auth2-pubkey.c :

user_key_allowed2(struct passwd *pw, Key *key, char *file)
{
...
/* Temporarily use the user's uid. */
temporarily_use_uid(pw);

debug("trying public key file %s", file);
f = auth_openkeyfile(file, pw, options.strict_modes);

  if (!f) {
    restore_uid();
    return 0;
  }



Il semble faire ça à peu près partout où il tente d'accéder à des
fichiers "user" (propre au compte) et non pour les fichiers
"système" (globaux, aka /etc/ssh/*).

C'est probablement pour minimiser l'impact d'une attaque éventuelle
via ces fichiers (déclencher un bug de parsing, attaque via symlink,
etc). En général dès que des data arrivent dans un programme, on est
parano, ça me semble s'expliquer ainsi.