Como conceder acesso temporário ao servidor?

14

Eu contratei um consultor remoto para ajustar meus servidores. Agora, eu não estou 100% confiante em dar a ele uma senha de root e permitir que ele faça o que ele quiser nos servidores. Idealmente, eu quero ver tudo o que ele está fazendo para meus servidores (em tempo real) e também encontrar uma maneira de não compartilhar a senha do root com ele.

Há alguma prática recomendada para permitir que um consultor remoto acesse seu servidor?

EDIT: Para esclarecer, eu quero fazer algum tipo de compartilhamento de tela com o consultor. Existe algum método pelo qual seus comandos são tunelados através da minha conta sem que ele tenha alguma senha alguma vez?

PS: Meus servidores estão no Ubuntu 9.10

    
por Paras Chopra 14.09.2010 / 21:21

6 respostas

7

Você pode permitir que ele se conecte com uma conta normal e depois monitorar sua Sessão SSH . A solução baseada em tela é a melhor na minha opinião e permite que você faça o "par" da administração do sistema. Por exemplo, ele poderia digitar os comandos do sudo e você digitaria a senha caso necessário.

P.S. Se você usar a tela, isso não significa que você também não deve usar sudosh2 ou outras soluções.

    
por 14.09.2010 / 22:10
14

Em vez de lhe conceder a senha de root, use sudo.

Se você quiser ver tudo o que ele está fazendo em tempo real como superusuário, confira sudosh2 . Dos documentos:

sudosh is an auditing shell filter and can be used as a login shell. Sudosh records all keystrokes and output and can play back the session as just like a VCR.

"Todos os toques de tecla" incluem pressionamentos de teclas de backspaces, caracteres de exclusão, "apagar palavra" do BASH, etc. Você pode assistir a erros de digitação e correções embaraçosos de alguém, etc.

o sudosh suportará o syslog e você poderá enviar os logs para um servidor syslog remoto. Isso garantiria que o usuário não pudesse apagar todas as cópias dos registros de auditoria.

Observe que o projeto original sudosh (a primeira versão) foi abandonados pelo autor. sudosh2 está vivo e bem.

    
por 14.09.2010 / 21:33
2

Isso realmente depende do nível de acesso que você deseja dar a ele. Eu nunca habilitar logins de raiz remota em primeiro lugar. Apenas contas "normais" devem ter acesso remoto e, em seguida, configurar o sudo para o que a pessoa precisar.

    
por 14.09.2010 / 21:26
2

Primeiro, você deve ter objetivos claramente definidos para o que você gostaria que ele fizesse. Uma vez definidos esses objetivos, você pode conceder a ele o nível de acesso necessário para alcançar esses objetivos.

É como largar o meu carro na oficina e dizer-lhes para "consertar". A próxima coisa que você sabe é que eu tenho uma conta de milhares de dólares e eles fizeram coisas que eu não queria e não pedi.

    
por 14.09.2010 / 21:51
0

Estou adicionando outra resposta diferente em resposta à sua atualização.

Usando a tela GNU, você pode compartilhar uma tela com outro usuário. Isso significa que ele pode digitar comandos e você vê tudo o que ele digita. Você pode digitar comandos e ele pode ver o que você digita. Quando ele é solicitado por uma senha, você pode digitar a senha, mas o conteúdo da senha não é impresso na tela (Nota: Enquanto o texto não é impresso na tela, não tenho certeza se o outro usuário seria capaz de obter acesso às teclas pressionadas de outra forma, ou ter acesso ao buffer de pressionamento de teclas, etc.).

Mais informações no link

Outra sugestão: Altere a senha do root para uma senha temporária antecipadamente. Quando ele for embora, restaure a senha root para a senha original.

    
por 14.09.2010 / 23:29
0

Se você permitir acesso a chave pública apenas ao seu servidor, mas não fizer login por senha, poderá revogar o direito de acesso a qualquer momento, removendo a chave que você forneceu ao consultor.

Uma vez na máquina, a tela GNU deve fornecer todas as funcionalidades desejadas - como Cristian Ciupitu sugeriu. Se você quiser adicionar um conforto extra, o sudosh2 pode ajudá-lo, mas o histórico de suas shells e a cópia em tela podem ajudá-lo a reproduzir os comandos mais tarde ...

    
por 15.09.2010 / 01:01