서버를 조정하기 위해 원격 컨설턴트를 고용했습니다. 이제는 루트 암호를 제공하고 서버에서 원하는 모든 작업을 수행 할 수 있다고 확신하지 않습니다. 이상적으로는 서버에서 수행하는 모든 작업을 실시간으로보고 루트 암호를 공유하지 않는 방법을 찾고 싶습니다.
원격 컨설턴트가 서버에 액세스 할 수 있도록하는 모범 사례가 있습니까?
편집 : 명확히하기 위해 컨설턴트와 일종의 화면 공유를하고 싶습니다. 비밀번호를받지 않고 내 계정을 통해 명령을 터널링하는 방법이 있습니까?
추신 : 내 서버는 우분투 9.10에 있습니다
답변
일반 계정으로 연결 한 다음 SSH 세션 을 모니터링 할 수 있습니다 . 스크린 기반 솔루션은 제 의견으로는 최고이며 “페어”시스템 관리를 수행 할 수 있습니다. 예를 들어, 그는 sudo 명령을 입력 할 수 있으며 필요한 경우 암호를 입력 할 수 있습니다.
추신 화면을 사용한다고해서 sudosh2 또는 다른 솔루션을 사용해서는 안된다는 의미는 아닙니다 .
답변
루트 암호를 부여하는 대신 sudo를 사용하십시오.
그가 수퍼 유저로서 실시간으로하고있는 모든 것을 보려면 sudosh2를 확인하십시오 . 문서에서 :
sudosh는 감사 셸 필터이며 로그인 셸로 사용할 수 있습니다. Sudosh는 모든 키 입력 및 출력을 기록하고 VCR처럼 세션을 재생할 수 있습니다.
“모든 키 입력”에는 백 스페이스의 키 입력, 문자 삭제, BASH의 ‘단어 지우기’등이 포함됩니다. 누군가의 창피한 오타 및 수정 등을 볼 수 있습니다.
sudosh는 syslog를 지원하며 로그를 원격 syslog 서버로 보낼 수 있습니다. 이를 통해 사용자는 모든 감사 로그 사본을 지울 수 없습니다.
원래 프로젝트 sudosh (첫 번째 버전)는 작성자 가 버렸 습니다. sudosh2는 살아 있고 잘 있습니다.
답변
실제로 어떤 수준의 액세스 권한을 부여 할 것인지에 달려 있습니다. 처음에는 원격 루트 로그인을 사용하지 않습니다. “일반”계정 만 원격 액세스 권한이 있어야하며, 그 사람이 필요로하는 모든 것에 대해 sudo를 구성하십시오.
답변
먼저, 당신이하고 싶은 일에 대한 목표를 명확하게 정의해야합니다. 이러한 목표가 정의되면 해당 목표를 달성하는 데 필요한 액세스 수준을 부여 할 수 있습니다.
수리점에 차를 내려 놓고 “수정”하라고 말하는 것과 같습니다. 다음으로 당신은 내가 수천 달러에 대한 청구서를 가지고 있고 내가 원하지 않았고 요구하지 않은 일을했다고 알고 있습니다.
답변
귀하의 업데이트에 대한 다른 답변을 추가하고 있습니다.
GNU 화면을 사용하면 다른 사용자와 화면을 공유 할 수 있습니다. 이것은 그가 명령을 입력 할 수 있고, 그가 입력 한 모든 것을 볼 수 있음을 의미합니다. 명령을 입력하면 입력 한 내용을 볼 수 있습니다. 암호를 입력하라는 메시지가 표시되면 암호를 입력 할 수 있지만 암호 내용이 화면에 인쇄되지 않습니다 (참고 : 텍스트가 화면에 인쇄되지 않지만 다른 사용자가 액세스 할 수 있는지 확실하지 않습니다. 다른 방법으로 키 스트로크에 액세스하거나 키 스트로크 버퍼 등에 액세스 할 수 있습니다.)
http://www.debian-administration.org/article/Using_GNU_screen%27s_multiuser_feature_for_remote_support 에서 자세한 정보
다른 제안 : 미리 루트 비밀번호를 임시 비밀번호로 변경하십시오. 그가 사라지면 루트 암호를 원래 암호로 복원하십시오.
답변
서버에 공개 키 액세스 만 허용하고 비밀번호 로그인은 허용하지 않는 경우 컨설턴트에게 제공 한 키를 제거하여 언제든지 액세스 권한을 취소 할 수 있습니다.
일단 시스템에 들어가면 크리스티안 시우 투투 (Cristian Ciupitu)가 제안한대로 GNU 화면이 원하는 기능을 모두 제공해야합니다. 편안함을 더하고 싶다면 sudosh2가 도움이 될 수 있지만 쉘 기록과 화면 하드 카피는 나중에 명령을 재생하는 데 도움이 될 수 있습니다 …