История изменений
Исправление Pinkbyte, (текущая версия) :
Ходить на тот сервер со своего компа, используя ForwardAgent — не вариант?
А что помешает руту подцепиться к сокету ssh-агента? Только что проверил - ничего. Да, сокет создается в tmp с рандомным именем и владельцем его является пользователь, подключенный к серверу. Но это никак не отменяет того факта что root может сделать вручную export SSH_AUTH_SOCK и поиметь доступ к ключу - на то он и root.
Тут отца русской демократии даже kerberos не спасёт - по тем же самым причинам.
Единственный вариант - ограничивать действия рута через SELinux.
Но я очень мало видел систем, где рут и администратор безопасности(в терминологии того же GrSecurity_ - разные люди. И вопрос доверия «администратору безопасности» опять же остаётся открытым.
Исходная версия Pinkbyte, :
Ходить на тот сервер со своего компа, используя ForwardAgent — не вариант?
А что помешает руту подцепиться к сокету ssh-агента? Только что проверил - ничего. Да, сокет создается в tmp с рандомным именем и владельцем его является пользователь, подключенный к серверу. Но это никак не отменяет того факта что root может сделать вручную export SSH_AUTH_SOCK и поиметь доступ к ключу - на то он и root.