서버에 임시 액세스 권한을 부여하는 방법


15

서버를 조정하기 위해 원격 컨설턴트를 고용했습니다. 이제는 루트 암호를 제공하고 서버에서 원하는 모든 작업을 수행 할 수 있다고 확신하지 않습니다. 이상적으로는 서버에서 수행하는 모든 작업을 실시간으로보고 루트 암호를 공유하지 않는 방법을 찾고 싶습니다.

원격 컨설턴트가 서버에 액세스 할 수 있도록하는 모범 사례가 있습니까?

편집 : 명확히하기 위해 컨설턴트와 일종의 화면 공유를하고 싶습니다. 비밀번호를받지 않고 내 계정을 통해 명령을 터널링하는 방법이 있습니까?

추신 : 내 서버는 우분투 9.10에 있습니다


4
신뢰는 다른 무엇보다 먼저 이루어져야 한다고 생각합니다 . 당신이 그를 믿지 않으면 (충분히), 당신의 서버를 망쳐 놓지 마십시오. 또한, 만일을 대비하여 백업을하고 서버에 기밀 데이터를 두지 마십시오.
Cristian Ciupitu

답변:


8

일반 계정으로 연결 한 다음 SSH 세션모니터링 할 수 있습니다 . 스크린 기반 솔루션은 제 의견으로는 최고이며 "페어"시스템 관리를 수행 할 수 있습니다. 예를 들어, 그는 sudo 명령을 입력 할 수 있으며 필요한 경우 암호를 입력 할 수 있습니다.

추신 화면을 사용한다고해서 sudosh2 또는 다른 솔루션을 사용해서는 안된다는 의미는 아닙니다 .


15

루트 암호를 부여하는 대신 sudo를 사용하십시오.

그가 수퍼 유저로서 실시간으로하고있는 모든 것을 보려면 sudosh2를 확인하십시오 . 문서에서 :

sudosh는 감사 셸 필터이며 로그인 셸로 사용할 수 있습니다. Sudosh는 모든 키 입력 및 출력을 기록하고 VCR처럼 세션을 재생할 수 있습니다.

"모든 키 입력"에는 백 스페이스의 키 입력, 문자 삭제, BASH의 '단어 지우기'등이 포함됩니다. 누군가의 창피한 오타 및 수정 등을 볼 수 있습니다.

sudosh는 syslog를 지원하며 로그를 원격 syslog 서버로 보낼 수 있습니다. 이를 통해 사용자는 모든 감사 로그 사본을 지울 수 없습니다.

원래 프로젝트 sudosh (첫 번째 버전)는 작성자 가 버렸 습니다. sudosh2는 살아 있고 잘 있습니다.


2

실제로 어떤 수준의 액세스 권한을 부여 할 것인지에 달려 있습니다. 처음에는 원격 루트 로그인을 사용하지 않습니다. "일반"계정 만 원격 액세스 권한이 있어야하며, 그 사람이 필요로하는 모든 것에 대해 sudo를 구성하십시오.


그러나 sudo를 가진 계정이 루트 액세스를 제공하는 것과 같지 않습니까?
Paras Chopra

4
@Paras Chopra-사용하는 구성 유형에 따라 다릅니다. sudo예를 들어 특정 명령에 대한 액세스를 제한 할 수 있습니다. 예
warren

2

먼저, 당신이하고 싶은 일에 대한 목표를 명확하게 정의해야합니다. 이러한 목표가 정의되면 해당 목표를 달성하는 데 필요한 액세스 수준을 부여 할 수 있습니다.

수리점에 차를 내려 놓고 "수정"하라고 말하는 것과 같습니다. 다음으로 당신은 내가 수천 달러에 대한 청구서를 가지고 있고 내가 원하지 않았고 요구하지 않은 일을했다고 알고 있습니다.


0

귀하의 업데이트에 대한 다른 답변을 추가하고 있습니다.

GNU 화면을 사용하면 다른 사용자와 화면을 공유 할 수 있습니다. 이것은 그가 명령을 입력 할 수 있고, 그가 입력 한 모든 것을 볼 수 있음을 의미합니다. 명령을 입력하면 입력 한 내용을 볼 수 있습니다. 암호를 입력하라는 메시지가 표시되면 암호를 입력 할 수 있지만 암호 내용이 화면에 인쇄되지 않습니다 (참고 : 텍스트가 화면에 인쇄되지 않지만 다른 사용자가 액세스 할 수 있는지 확실하지 않습니다. 다른 방법으로 키 스트로크에 액세스하거나 키 스트로크 버퍼 등에 액세스 할 수 있습니다.)

http://www.debian-administration.org/article/Using_GNU_screen%27s_multiuser_feature_for_remote_support 에서 자세한 정보

다른 제안 : 미리 루트 비밀번호를 임시 비밀번호로 변경하십시오. 그가 사라지면 루트 암호를 원래 암호로 복원하십시오.



0

서버에 공개 키 액세스 만 허용하고 비밀번호 로그인은 허용하지 않는 경우 컨설턴트에게 제공 한 키를 제거하여 언제든지 액세스 권한을 취소 할 수 있습니다.

일단 시스템에 들어가면 크리스티안 시우 투투 (Cristian Ciupitu)가 제안한대로 GNU 화면이 원하는 기능을 모두 제공해야합니다. 편안함을 더하고 싶다면 sudosh2가 도움이 될 수 있지만 쉘 기록과 화면 하드 카피는 나중에 명령을 재생하는 데 도움이 될 수 있습니다 ...

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.