Вопросы Теги

SSH устанавливают для нескольких администратора сервера

Для томов NTFS я предпочитаю использовать ntfsclone. Это - часть ntfsprogs пакета.

2
задан 18 August 2009 в 21:01
4 ответа

Вы рассмотрели просто отключение корневой учетной записи, но разрешение sudo? Тем путем единственный пароль, который должен знать каждый администратор, является его собственным, весь доступ зарегистрирован человеку, и управление ключами становится совершенно дополнительным.

14
ответ дан 3 December 2019 в 08:31
  • 1
    +1 это - мой предпочтительный подход для всех моих серверов. –  egorgry 18 August 2009 в 21:12
  • 2
    Спасибо за все ответы ;). Всего одна точка с предложенной установкой. Если пользователь может получить корневые права только с их паролем учетной записи, я предполагаю, что запрещают логины пароля, необходимость, правильно? –   18 August 2009 в 21:37
  • 3
    It' s не необходимость. Если you' ve получили разумные пароли и выполняют что-то как fail2ban, it' s вряд ли, чтобы быть проблемой. Тем не менее, если it' s опция в Вашей среде, это может стоить сделать. Просто не забудьте создавать резервную копию своих ssh ключей :-D. –  Cian 18 August 2009 в 23:05
  • 4
    В дополнение к этому, устанавливает сильный пароль root и хранят его где-нибудь безопасный (нигде около сервера - физический несгораемый сейф хорош), но только позвольте корневые логины на локальной консоли. Это - Ваш " безопасность valve" если доступные администраторы теряют свои ключи. –  womble♦ 19 August 2009 в 00:48

Сделайте каждому администратору их собственный отчет на каждом сервере и предоставьте им доступ к ограниченным корнем вещам с sudo вместо su. Затем можно использовать пары "открытый/закрытый ключ" или безотносительно другого метода аутентификации войти в систему сервера.

2
ответ дан 3 December 2019 в 08:31

Мимоходом связанный, в зависимости от количества серверов, число администраторов, и нужен ли всем администраторам доступ на всех серверах, считает систему управления конфигурацией таким как (ни в каком порядке предпочтения) bcfg2, cfengine, lcfg, или марионетка. Можно начать с малого, руководящие администраторские учетные записи и ключи, а также ограничивающий ssh логины с директивами AllowUsers и AllowGroups в sshd_config.

Обычно никогда нет достаточного количества времени, чтобы учиться настраивать или развертывать систему CM, но если Вы будете нацелены на тестовую группу из 2-3 машин и работы над управлением простыми вещами сначала (статические файлы как authorized_keys, resolv.conf, и т.д.), то Вы будете удивлены тем, как быстро можно было реализовать его и готовый развернуться к большему количеству систем. Поскольку больше систем принесено при централизованном управлении, Вы будете также удивлены тонкими неверными конфигурациями, которые поднимутся.

Что это имеет отношение к установке корневого доступа? Простой: После того как Вы управляете конфигурациями от центральной системы, это намного быстрее и легче управлять ключами и доступом. Аудит упрощен, который может или не может быть важен для Вас. Далее, если Вы связываетесь, система CM с автоматизированной системой сборки любят, Запускают или Инициируют, можно серьезно уменьшить резервное копирование наверху и время развертывания серверов. Управление доступом является важным фасетом управления конфигурацией; иногда это помогает мельком увидеть большего изображения.

1
ответ дан 3 December 2019 в 08:31

Далее, чем sudo решение, можно использовать аутентификацию с открытым ключом и ssh-агент. Вы не должны даже вводить пароль каждый раз к ssh серверы. Посмотрите здесь

0
ответ дан 3 December 2019 в 08:31

Теги

Похожие вопросы