Вопрос: Как создать пользователя Linux без пароля, но его можно установить?


У меня есть имя пользователя и SSH-ключ для (гипотетического) парня, и мне нужно предоставить ему доступ администратора к серверу Linux (Ubuntu).

Я хочу, чтобы он мог войти в систему через SSH, а затем установить свой пароль самостоятельно через безопасное соединение вместо того, чтобы передавать пароль.

Я знаю, как закончить пароль и заставить его сбросить его при первом входе в систему. Но это не работает, если у него нет некоторые пароль уже, который я должен сказать ему.

Я думал о том, чтобы сделать пароль пустым - SSH не разрешил вход в систему, но тогда любой может su в пользователя.

Мой вопрос в том, есть ли какая-то передовая практика создания учетных записей таким образом? Или установка пароля по умолчанию неизбежна?


8
2017-09-01 23:04


Источник




Ответы:


У вас есть открытый ключ SSH? Поместите это .ssh/authorized_keys в его домашнем каталоге. Как только вы это сделали (и разрешения достаточно ограничительные - SSH суетливый об этом.), Он сможет войти в систему, не требуя пароля вообще ... и он никогда не понадобится.

Наилучшая часть заключается в том, что его открытый ключ не чувствителен, поэтому передавать его по электронной почте или в чате - это хорошо, и его личный ключ никогда не покидает свой компьютер.


7
2017-09-01 23:30



Ему потребуется пароль для sudo, выиграл? - Leonid Shevtsov
Вы можете разрешить sudo без пароля. - MDMarra
С такой линией, как USERNAME = NOPASSWD: /usr/local/bin/pwreset.sh в /etc/sudoers и сценарий pwreset.sh запуск команды /usr/bin/passwd USERNAME ему не понадобится пароль для (повторного) установки собственного пароля. - Ansgar Wiechers


Просто поместите текстовый файл с паролем внутри этого пользователя домой с правами 600. Пользователь регистрируется с ключом, который изменяет пароль и удаляет файл. С помощью skript с установленным битом бит вы можете даже создать что-то вроде passwd <textfile без предоставления пользователю права на чтение файла (права будут 060 с группой = root)


0
2018-01-31 10:15





Установка пароля по умолчанию неизбежна. Моя процедура будет:

1) создать безопасный случайный пароль (для каждого пользователя он отличается). Я использую генератор паролей в настройках учетной записи OSX, но вы можете использовать веб-сайт, такой как http://strongpasswordgenerator.com

2) Надежно установите для них пароль, например. лично или через http://www.privnote.com

3) принудительно перезагрузите первый вход, поскольку вы уже знаете, как это сделать


-2
2017-09-01 23:34



Никогда, под нет обстоятельства, использование Любые типа генератора паролей онлайн (или -checker, если на то пошло). - Ansgar Wiechers
@AnsgarWiechers, можете ли вы поддержать это заявление с хорошим аргументом? - Zoredache
Слишком много, что вы не можете контролировать. Даже если код действительно работает JavaScript в браузере: вы просматриваете сценарий каждый раз перед его использованием, чтобы убедиться, что он все еще не отправляет пароль нигде? - Ansgar Wiechers
Вот почему вы говорите ему, чтобы генерировать несколько сотен паролей и выбирать один случайным образом. - Grant
@Grant: Даже если вы выберете один из нескольких сотен паролей, злоумышленник все равно будет доходить до нескольких сотен догадок, которые далеко слишком простой для грубой силы. Существует достаточно возможностей для генерации случайных паролей локально без участия какого-либо веб-доступа. Если вы вообще заботитесь о безопасности, используйте один из них. - Ansgar Wiechers