Làm thế nào để cấp quyền truy cập tạm thời vào máy chủ?


15

Tôi đã thuê một chuyên gia tư vấn từ xa để điều chỉnh máy chủ của mình. Bây giờ, tôi không tự tin 100% về việc cho anh ta mật khẩu root và cho phép anh ta làm bất cứ điều gì anh ta muốn làm trên các máy chủ. Lý tưởng nhất, tôi muốn xem mọi thứ anh ấy đang làm với máy chủ của tôi (trong thời gian thực) và cũng tìm cách không chia sẻ mật khẩu root với anh ấy.

Có cách thực hành tốt nhất nào trong việc cho phép một nhà tư vấn từ xa truy cập vào máy chủ của bạn không?

EDIT: Để làm rõ, tôi muốn thực hiện một số loại chia sẻ màn hình với nhà tư vấn. Có phương pháp nào mà các lệnh của anh ta được chuyển qua tài khoản của tôi mà anh ta không nhận được bất kỳ mật khẩu nào không?

PS: Máy chủ của tôi đang ở trên Ubuntu 9.10


4
Tôi nghĩ rằng niềm tin nên đến trước bất cứ điều gì khác . Nếu bạn không tin tưởng anh ta (đủ), đừng để anh ta gây rối với máy chủ của bạn. Ngoài ra, hãy sao lưu chỉ trong trường hợp và cố gắng không có bất kỳ dữ liệu bí mật nào trên máy chủ.
Cristian Ciupitu

Câu trả lời:


8

Bạn có thể cho phép anh ấy kết nối với một tài khoản thông thường và sau đó theo dõi phiên SSH của anh ấy . Theo tôi, giải pháp dựa trên màn hình là tốt nhất và sẽ cho phép bạn thực hiện quản trị hệ thống "ghép đôi". Ví dụ, anh ta có thể gõ các lệnh sudo và bạn sẽ nhập mật khẩu trong trường hợp cần thiết.

PS Nếu bạn sử dụng màn hình, điều đó không có nghĩa là bạn cũng không nên sử dụng sudosh2 hoặc các giải pháp khác.


15

Thay vì cấp cho anh ta mật khẩu root, hãy sử dụng sudo.

Nếu bạn muốn xem mọi thứ anh ấy đang làm trong thời gian thực là siêu người dùng, hãy xem sudosh2 . Từ các tài liệu:

sudosh là một bộ lọc vỏ kiểm toán và có thể được sử dụng làm vỏ đăng nhập. Sudosh ghi lại tất cả các tổ hợp phím và đầu ra và có thể phát lại phiên giống như một VCR.

"Tất cả các tổ hợp phím" bao gồm tổ hợp phím từ không gian, xóa ký tự, 'xóa từ' của BASH, v.v. Bạn có thể xem lỗi chính tả và sửa lỗi của ai đó, v.v.

sudosh sẽ hỗ trợ syslog và bạn có thể gửi nhật ký đến một syslog sever từ xa. Điều này sẽ đảm bảo rằng người dùng không thể xóa tất cả các bản sao của nhật ký kiểm toán.

Lưu ý rằng sudosh dự án ban đầu (phiên bản đầu tiên) đã bị tác giả của nó bỏ rơi . sudosh2 còn sống và tốt


2

Nó thực sự phụ thuộc vào mức độ truy cập mà bạn muốn cung cấp cho anh ấy / cô ấy. Tôi sẽ không bao giờ kích hoạt đăng nhập root từ xa ở nơi đầu tiên. Chỉ các tài khoản "bình thường" mới có quyền truy cập từ xa, sau đó định cấu hình sudo cho bất cứ điều gì người đó cần.


Nhưng không phải là một tài khoản với sudo tương đương với việc cung cấp quyền truy cập root?
Paras Chopra

4
@Para Chopra - tùy thuộc vào loại cấu hình bạn sử dụng - sudoví dụ: bạn có thể giới hạn quyền truy cập vào một số lệnh nhất định
warren

2

Trước tiên, bạn nên xác định rõ mục tiêu cho những gì bạn muốn anh ấy làm. Khi các mục tiêu đó được xác định, bạn có thể cấp cho anh ta mức độ truy cập cần thiết để đạt được các mục tiêu đó.

Nó giống như thả xe của tôi xuống cửa hàng sửa chữa và bảo họ "sửa nó đi". Điều tiếp theo bạn biết là tôi đã nhận được hóa đơn hàng ngàn đô la và họ đã làm những điều tôi không muốn làm và không yêu cầu.


0

Tôi đang thêm một câu trả lời khác, đáp lại bản cập nhật của bạn.

Sử dụng màn hình GNU, bạn có thể chia sẻ màn hình với người dùng khác. Điều này có nghĩa là anh ta có thể gõ lệnh và bạn thấy mọi thứ anh ta gõ. Bạn có thể gõ lệnh và anh ta có thể thấy những gì bạn gõ. Khi anh ấy nhắc mật khẩu, bạn có thể nhập mật khẩu, nhưng nội dung mật khẩu không được in ra màn hình (Lưu ý: Trong khi văn bản không được in ra màn hình, tôi không chắc người dùng khác có thể truy cập được không vào tổ hợp phím của bạn theo một số cách khác hoặc có quyền truy cập vào bộ đệm tổ hợp phím, v.v.).

Thêm thông tin tại http: //www.debian-adftime.org/article/Using_GNU_screen%27s_multiuser_feature_for_remote_support

Một đề nghị khác: Thay đổi mật khẩu gốc thành mật khẩu tạm thời trước. Khi anh ta đi, khôi phục mật khẩu gốc về mật khẩu ban đầu.



0

Nếu bạn chỉ cho phép truy cập khóa công khai vào máy chủ của mình nhưng không đăng nhập mật khẩu, bạn có thể thu hồi quyền truy cập bất cứ lúc nào bạn muốn bằng cách xóa khóa bạn đã cung cấp cho nhà tư vấn.

Khi ở trên máy, màn hình GNU sẽ cung cấp tất cả chức năng mong muốn - như Cristian Ciupitu đề xuất. Nếu bạn muốn thêm thoải mái, sudosh2 có thể giúp bạn, nhưng lịch sử trình bao và bản cứng màn hình của bạn có thể giúp bạn phát lại các lệnh sau này ...

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.