ssh-agentにSGIDが設定されているのはなぜですか?
Openssh Red Hatパッケージで、ssh-agent実行可能ファイルにはSGID権限セットがあります。
$ ls -l /usr/bin/ssh-agent
-rwxr-sr-x 1 root nobody 113648 Nov 24 2010 /usr/bin/ssh-agent
なぜopenssh開発者はssh-agentnobodyグループで実行しますか?それとも、SGIDが何をするのか誤解しているのでしょうか?
さて、私のsshグループへのsetgid。あなたはRedHatから派生したシステムを使用していると思います。彼らはnobodyユーザー/グループを悪用するのが大好きです。
少しグーグルすると、setgidはセキュリティの脆弱性を防ぐためのものであり、エージェントを追跡することで秘密鍵の素材が取得されることを示唆しています( http://comments.gmane.org/gmane.linux.debian.devel.ssh/59 )。プロセスをsetgid-anythingにするということは、非ルート(または少なくとも非CAP_SYS_PTRACE)ユーザーはEPERMedです。