Вопросы Теги

SSH регистрирует возможности, эквивалентные su, регистрирующемуся для частной/с открытым ключом аутентификации?

Можно хотеть изучить виртуальное поле также.

11
задан 28 May 2009 в 21:19
3 ответа

Существует много уровней входа доступного через sshd_config файл. См. страницу справочника и ищите LogLevel. Уровень по умолчанию INFO но тривиально легко ударить его до VERBOSE или даже один из DEBUG# уровни.

Кроме того, необходимо исследовать sudo как альтернатива su. Полное обсуждение преимуществ sudo был бы собственный вопрос. Но я могу сказать это с sudo можно настроить, как часто необходимо ввести пароль, какие команды могут быть выполнены, и т.д., все управляемые через sudoers файл конфигурации.

13
ответ дан 2 December 2019 в 21:47
  • 1
    Проголосовавший за предложение sudo замены. –  Matt Simmons 28 May 2009 в 22:26

Иначе должен был бы переместиться authorized_keys за пределами объема пользователя (например, к /etc/ssh/authorized_keys) так, чтобы только системные администраторы управляли бы, какие открытые ключи могут использоваться для входа в сделанные отчеты.

Мы раньше изменялись AuthorizedKeysFile директива в sshd_config к чему-то как следующее.

AuthorizedKeysFile /etc/ssh/authorized_keys/%u

Затем создайте и заполните /etc/ssh/authorized_keys каталог с файлами для каждого пользователя это, как предполагается, может войти в систему, удостоверяясь root файл читаем/перезаписываем только для укоренения и другие файлы, читаемые соответствующим пользователем, как это:

-rw-------  1 root root    1,7K 2008-05-14 14:38 root
-rw-r-----  1 root john     224 2008-11-18 13:15 john

Каждый файл содержит ряд открытых ключей, которым позволят войти в сделанный отчет. Это довольно характерно для каждой учетной записи пользователя также существует соответствующая группа.

Используя общественность/закрытые ключи путь лучший метод для управления доступом удаленного пользователя. Вы не должны изменять пароль каждый месяц (Вы не должны устанавливать его ни один), и не должны изменять его просто, потому что сотрудник уехал, Ваша компания просто удаляют их открытый ключ; и конечно с опциями SSH (http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&sektion=8#SSHRC) Вы можете мелкий модуль к тому, что и от того, где у данного пользователя мог бы быть доступ.

6
ответ дан 2 December 2019 в 21:47

Аутентификация общественности/закрытого ключа SSH является отдельной от аутентификации хоста. Вам не повезло здесь. Вы могли запросить, хотя этому члены конкретной группы позволяют выполнить определенные команды администрирования через sudo без пароля - как рев в качестве примера позволяет пользователям войти secretaries группа для управления учетными записями:


# file: /etc/sudoers
...
%secretaries    ALL= NOPASSWD: /usr/bin/adduser, /usr/bin/rmuser   
...
1
ответ дан 2 December 2019 в 21:47

Теги

Похожие вопросы