Существует много уровней входа доступного через sshd_config
файл. См. страницу справочника и ищите LogLevel
. Уровень по умолчанию INFO
но тривиально легко ударить его до VERBOSE
или даже один из DEBUG#
уровни.
Кроме того, необходимо исследовать sudo
как альтернатива su
. Полное обсуждение преимуществ sudo
был бы собственный вопрос. Но я могу сказать это с sudo
можно настроить, как часто необходимо ввести пароль, какие команды могут быть выполнены, и т.д., все управляемые через sudoers файл конфигурации.
Иначе должен был бы переместиться authorized_keys
за пределами объема пользователя (например, к /etc/ssh/authorized_keys
) так, чтобы только системные администраторы управляли бы, какие открытые ключи могут использоваться для входа в сделанные отчеты.
Мы раньше изменялись AuthorizedKeysFile
директива в sshd_config
к чему-то как следующее.
AuthorizedKeysFile /etc/ssh/authorized_keys/%u
Затем создайте и заполните /etc/ssh/authorized_keys
каталог с файлами для каждого пользователя это, как предполагается, может войти в систему, удостоверяясь root
файл читаем/перезаписываем только для укоренения и другие файлы, читаемые соответствующим пользователем, как это:
-rw------- 1 root root 1,7K 2008-05-14 14:38 root
-rw-r----- 1 root john 224 2008-11-18 13:15 john
Каждый файл содержит ряд открытых ключей, которым позволят войти в сделанный отчет. Это довольно характерно для каждой учетной записи пользователя также существует соответствующая группа.
Используя общественность/закрытые ключи путь лучший метод для управления доступом удаленного пользователя. Вы не должны изменять пароль каждый месяц (Вы не должны устанавливать его ни один), и не должны изменять его просто, потому что сотрудник уехал, Ваша компания просто удаляют их открытый ключ; и конечно с опциями SSH (http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&sektion=8#SSHRC
) Вы можете мелкий модуль к тому, что и от того, где у данного пользователя мог бы быть доступ.
Аутентификация общественности/закрытого ключа SSH является отдельной от аутентификации хоста. Вам не повезло здесь. Вы могли запросить, хотя этому члены конкретной группы позволяют выполнить определенные команды администрирования через sudo
без пароля - как рев в качестве примера позволяет пользователям войти secretaries
группа для управления учетными записями:
# file: /etc/sudoers
...
%secretaries ALL= NOPASSWD: /usr/bin/adduser, /usr/bin/rmuser
...