Вопрос: Как предоставить временный доступ к серверу?


Я нанял удаленного консультанта для настройки моих серверов. Теперь я не уверен на 100% дать ему пароль root и позволить ему делать все, что он хочет делать на серверах. В идеале я хочу видеть все, что он делает с моими серверами (в режиме реального времени), а также найти способ не разделить с ним пароль root.

Существуют ли какие-либо рекомендации по предоставлению удаленному консультанту доступа к вашему серверу?

EDIT: Чтобы уточнить, я хочу сделать какую-то долю экрана с консультантом. Есть ли способ, с помощью которого его команды туннелируются через мою учетную запись, без получения пароля?

PS: Мои серверы находятся на Ubuntu 9.10


14
2017-09-14 19:21


Источник


я думаю что доверие должно предшествовать чему-либо еще, Если вы не доверяете ему (достаточно), не позволяйте ему возиться с вашим сервером. Кроме того, сделайте резервную копию на всякий случай и попробуйте не иметь никаких конфиденциальных данных на сервере. - Cristian Ciupitu


Ответы:


Вы можете позволить ему подключиться к обычной учетной записи, а затем следить за сеансом SSH, Решение на основе экрана лучше всего, на мой взгляд, и позволит вам «пара» администрировать систему. Например, он может вводить команды sudo, и вы вводите пароль в случае необходимости.

Постскриптум Если вы используете экран, это не значит, что вы также не должны использовать sudosh2 или других решений.


7
2017-09-14 20:10





Вместо того, чтобы предоставить ему пароль root, используйте sudo.

Если вы хотите увидеть все, что он делает в режиме реального времени, как суперпользователь, проверьте sudosh2, Из документов:

sudosh является фильтром оболочки аудита и может использоваться как оболочка входа. Sudosh записывает все нажатия клавиш и выводит их и может воспроизводить сессию так же, как видеомагнитофон.

«Все нажатия клавиш» включают нажатия клавиш из обратных пространств, удаление символов, «стирающее слово» BASH и т. Д. Вы можете наблюдать за чьи-то неудобные опечатки и исправления и т. Д.

sudosh будет поддерживать syslog, и вы можете отправить журналы на удаленный syslog-сервер. Это гарантирует, что пользователь не сможет удалить все копии журналов аудита.

Обратите внимание, что исходный проект sudosh (первая версия) заброшенный автор. sudosh2 жив и здоров.


14
2017-09-14 19:33





Это действительно зависит от того, какой уровень доступа вы хотите ему дать. Во-первых, я бы никогда не разрешил удаленные корневые входы. Только «нормальные» учетные записи должны иметь удаленный доступ, а затем настраивать sudo на все, что ему нужно.


2
2017-09-14 19:26



Но разве это не учетная запись sudo, эквивалентная предоставлению доступа root? - Paras Chopra
@Paras Chopra - это зависит от того, какую конфигурацию вы используете - вы можете ограничить sudo доступ к определенным командам, например - warren


Во-первых, у вас должны быть четко определенные цели для того, что вы хотели бы, чтобы он сделал. После определения этих целей вы можете предоставить ему уровень доступа, необходимый для достижения этих целей.

Это как отбросить мою машину в ремонтной мастерской и сказать им «исправить это». Следующее, что вы знаете, у меня есть счет за тысячи долларов, и они сделали то, что я не хотел делать, и не просили.


2
2017-09-14 19:51





Я добавляю другой, другой ответ в ответ на ваше обновление.

Используя экран GNU, вы можете поделиться экраном с другим пользователем. Это означает, что он может вводить команды, и вы видите все, что он набирает. Вы можете вводить команды, и он может видеть, что вы набираете. Когда он запрашивает пароль, вы можете ввести пароль, но содержимое пароля не будет напечатано на экране (Примечание. Хотя текст не печатается на экране, я не уверен, что другой пользователь сможет получить доступ к вашим нажатиям клавиш другим способом или иметь доступ к буферу нажатия клавиш и т. д.).

Дополнительная информация на http://www.debian-administration.org/article/Using_GNU_screen%27s_multiuser_feature_for_remote_support

Еще одно предложение: заранее введите пароль root во временный пароль. Когда он уйдет, верните пароль root к исходному паролю.


0
2017-09-14 21:29



Я уже предложил использовать экран, - Cristian Ciupitu


Если вы разрешаете доступ к открытому ключу только на вашем сервере, но не авторизованы, вы можете в любое время отменить право доступа, удалив ключ, который вы дали консультанту.

Как только предложил Cristian Ciupitu, на экране устройства GNU должен быть предоставлен все необходимые функции. Если вы хотите добавить дополнительный комфорт, sudosh2 может вам помочь, но история вашей оболочки и экранная копия могут помочь вам воспроизвести команды позже ...


0
2017-09-14 23:01