Eu tenho um nome de usuário e uma chave SSH para um cara (hipotético) e preciso dar a ele acesso administrativo a um servidor Linux (Ubuntu).
Eu quero que ele seja capaz de fazer o login via SSH e, em seguida, definir sua senha sozinho através de uma conexão segura, em vez de passar a senha.
Eu sei como fazer a senha expirar e forçá-lo a redefini-la no primeiro login. Mas isso não funciona a menos que ele já tenha alguma senha , o que eu tenho que dizer a ele.
Eu pensei em deixar a senha em branco - o SSH não permitiria login, mas qualquer um pode su no usuário.
Minha pergunta é: existe alguma prática recomendada para criar contas dessa maneira? Ou definir uma senha padrão é inevitável?
Você tem a chave pública SSH dele? Coloque em .ssh/authorized_keys em seu diretório pessoal. Depois de ter feito isso (e as permissões são restritivas o suficiente - o SSH é exigente quanto a isso), ele poderá efetuar login sem precisar de uma senha ... e nunca precisará de uma.
A melhor parte é que a sua chave pública não é sensível, por isso, passá-la em e-mails ou bate-papo é bom, e sua chave privada nunca sai do computador.
Basta colocar um arquivo de texto com a senha dentro da casa dos usuários com direitos 600. O usuário faz o login com a chave, altera a senha e apaga o arquivo. Com um skript com suid bit set você pode até criar algo como passwd < textfile sem dar ao usuário o direito de ler o arquivo (os direitos seriam 060 com group = root)
Definir uma senha padrão é inevitável. Meu procedimento seria:
1) gere uma senha segura e aleatória (diferente para cada usuário). Eu uso o gerador de senhas nas configurações da conta do OSX, mas você pode usar um site como o link
2) Forneça a senha a eles com segurança, por exemplo pessoalmente ou por meio do link
3) forçar um reset no primeiro login como você já sabe como fazer
Tags ssh authentication debian linux ubuntu