SELinuxポリシーを使用してプライベートsshキーへのアクセスを制限するにはどうすればよいですか？

秘密鍵の使用を許可されている人から秘密鍵を隠す適切な方法は、ハードウェアセキュリティモジュールです（スマートカードなどが適切に機能します）。 SSHキーを少し努力することでこれを行うことができます（グーグル検索が表示されます いくつかの不格好なハードウェアとGPGを使用したこのチュートリアル ）。

ただし、シェルではないものを取得することを心配している場合は、多くのエクスプロイトがシェルを取得することを念頭に置いて、AppArmourはこの方法でファイルシステムのアクセス許可を制限できますが、ホームディレクトリ内でそれを行うのは少しだと思いますマルチユーザーシステムの管理はより注意が必要です。

SELinuxもこれを行うことができます。 ファイルにセキュリティラベルを付け、sshのみにファイルの読み取りを許可します 。

ユーザーは通常、独自のSSHキーを作成でき、通常はそれらの所有者であることに注意してください。つまり、ユーザーはどのようなラベルや権限を設定しても調整できます。これは存在する仮定です。

ウイルスを実行する場合は、これよりもはるかに安全にするために従うことができるいくつかのルールがあります。

• 意図的にウイルスを実行するマシンは、ある程度隔離する必要があります。具体的には、それらは何かへのジャンプボックスとして機能することができないはずです。最低限必要な範囲まで、（独自のVLAN上で）ネットワークアクセスを制限する必要があります。 X.509秘密鍵やSSH秘密鍵のような資格情報を持ってはいけません。これにより、何に対しても認証できるようになります。
• これらのマシンをオフラインで迅速に再構築する機能を保持する必要があります。これにより、スナップショットが作成されたVMは、このタイプの調査に非常に適しています。
• 気になるものは、ウイルスの実行に使用されるマシンに保存しないでください。
• ウイルスがあなた自身で作ったものであるか、それらの操作があなたの管理下にある場合は、可能な限り、それらを不活性にしてください。 C＆Cアドレスはブラックホールである必要があります（テストと文書化のために予約されたIPである192.0.2.1が適切です。0.0.0.0も適切な場合があります; blackhole.iana.orgは適切なDNS名です）。それらが実際のアドレスである必要がある場合は、制限されたネットワーク上でそれらの特別なテストC＆Cをホストできます。
• 他人のC＆Cや自分が管理していないウイルスを使用する場合は、十分に注意してください。これを行う場合は、LANに関連付けられていない別のインターネット接続のローカルコンソールで行うのが最善です。

誤ってウイルスを実行することを心配している場合は、selinuxが役立つかもしれませんが、これに対する本当の解決策は常識と十分な注意です。

秘密鍵をパスワードで保護することもできます。これにより、秘密鍵が暗号化されますが、ウイルスによってキーストロークがそれを回避する可能性があります。