Làm cách nào để tạo người dùng Linux mà không cần mật khẩu nhưng có thể đặt mật khẩu?

Tôi có tên người dùng và khóa SSH cho một anh chàng (giả định) và tôi cần cấp cho anh ta quyền truy cập quản trị viên vào máy chủ Linux (Ubuntu).

Tôi muốn anh ấy có thể đăng nhập thông qua SSH và sau đó tự mình đặt mật khẩu qua một kết nối an toàn, thay vì gửi mật khẩu xung quanh.

Tôi biết cách làm cho mật khẩu hết hạn và buộc anh ta đặt lại mật khẩu trong lần đăng nhập đầu tiên. Nhưng điều này không hoạt động trừ khi anh ta đã có một số mật khẩu, sau đó tôi phải nói với anh ta.

Tôi đã nghĩ về việc làm trống mật khẩu - SSH sẽ không cho phép đăng nhập, nhưng sau đó bất cứ ai cũng có thể suvào người dùng.

Câu hỏi của tôi là, có một số thực tiễn tốt nhất để tạo tài khoản theo cách như vậy? Hoặc đặt mật khẩu mặc định là không thể tránh khỏi?

— Leonid Shevtsov
nguồn

Câu trả lời:

Bạn có khóa công khai SSH của anh ấy? Đặt nó trong .ssh/authorized_keysthư mục nhà của mình. Khi bạn đã thực hiện điều đó (và các quyền đủ hạn chế - SSH rất khó hiểu về điều đó.) Anh ta sẽ có thể đăng nhập mà không cần mật khẩu nào cả ... và anh ta sẽ không bao giờ cần mật khẩu.

Phần tốt nhất là khóa công khai của anh ấy không nhạy cảm, vì vậy việc chuyển nó qua email hoặc trò chuyện là ổn, và khóa riêng của anh ấy không bao giờ rời khỏi máy tính của anh ấy.

— Ladadadada
nguồn

Anh ta sẽ cần một mật khẩu sudo, phải không?

— Leonid Shevtsov

Bạn có thể cho phép sudo không mật khẩu.

— MDMarra

Với một dòng như USERNAME = NOPASSWD: /usr/local/bin/pwreset.shtrong /etc/sudoersvà tập lệnh pwreset.shchạy lệnh /usr/bin/passwd USERNAME, anh ta sẽ không cần mật khẩu để (đặt lại) mật khẩu của riêng mình.

— Ansgar Wiechers

Chỉ cần đặt một tệp văn bản có mật khẩu bên trong nhà người dùng có quyền 600. Người dùng đăng nhập bằng khóa sẽ thay đổi mật khẩu và xóa tệp. Với một skript với bộ bit suid, bạn thậm chí có thể tạo một cái gì đó như passwd <textfile mà không cho người dùng quyền đọc tệp (quyền sẽ là 060 với nhóm = root)

— Erwin
nguồn

-2

Đặt mật khẩu mặc định là không thể tránh khỏi. Thủ tục của tôi sẽ là:

1) tạo mật khẩu ngẫu nhiên, an toàn (khác nhau cho mỗi người dùng). Tôi sử dụng trình tạo mật khẩu trong cài đặt tài khoản của OSX nhưng bạn có thể sử dụng một trang web như http://strongpasswordgenerator.com

2) Cung cấp mật khẩu cho họ một cách an toàn, ví dụ như trực tiếp hoặc qua http://www.privnote.com

3) buộc thiết lập lại trong lần đăng nhập đầu tiên vì bạn đã biết cách thực hiện

— Oliver Kohll
nguồn

Chưa bao giờ , dưới không có trường hợp, sử dụng bất kỳ loại máy phát điện mật khẩu trực tuyến (hoặc -checker cho rằng vấn đề).

— Ansgar Wiechers

@AnsgarWiechers, bạn có thể ủng hộ tuyên bố đó với một lập luận tốt không?

— Zoredache

Quá nhiều liên quan mà bạn không thể kiểm soát. Ngay cả khi mã thực sự là JavaScript đang chạy trong trình duyệt: bạn có xem lại tập lệnh mỗi lần trước khi sử dụng để đảm bảo rằng nó vẫn không gửi mật khẩu ở bất cứ đâu không?

— Ansgar Wiechers

Đó là lý do tại sao bạn bảo nó tạo ra vài trăm mật khẩu và chọn một mật khẩu ngẫu nhiên.

— Cấp

@Grant: Thậm chí nếu bạn chọn một trong số vài trăm mật khẩu, kẻ tấn công vẫn sẽ là xuống đến một vài trăm đoán, đó là xa quá dễ dàng để brute-force. Có đủ tùy chọn để tạo mật khẩu ngẫu nhiên cục bộ mà không cần bất kỳ loại truy cập web nào liên quan. Nếu bạn quan tâm đến bảo mật: sử dụng một trong số đó.

— Ansgar Wiechers