Se eles estiverem usando o sudo, ele solicitará a senha e não a senha do root, portanto, nenhuma alteração de senha do root é necessária. Apenas certifique-se de dar a eles privilégios adequados no arquivo / etc / sudoers.
Acabamos de implantar um par de servidores Linux. Cada sysadmin terá sua própria conta no servidor (ou seja, jsmith), e se conectará usando SSH com um certificado que será colocado no arquivo "authorized_keys" em seu diretório home. Uma vez conectado no servidor, se eles quiserem emitir um comando elevado, eles farão como:
sudo ifconfig
Eles então digitarão a senha do root.
O que eu gostaria de saber agora são as práticas recomendadas para gerenciar essa senha de root. Devo alterá-lo periodicamente? E como eu compartilho essa nova senha com os administradores de sistema?
** Claro que desabilitará o logon root no SSH.
Se eles estiverem usando o sudo, ele solicitará a senha e não a senha do root, portanto, nenhuma alteração de senha do root é necessária. Apenas certifique-se de dar a eles privilégios adequados no arquivo / etc / sudoers.
Você não precisa se preocupar com a senha do root ao usar o sudo. Talvez eu recomende desabilitar a senha do root emitindo
sudo passwd -l root
Embora, antes de fazer isso, verifique se você tem um usuário do sistema relevante com todos os privilégios.
Você sempre pode obter o console do root emitindo
sudo -i
A seguir, um pequeno script que uso para provisionar meus servidores.
#!/bin/bash
set -e
addgroup sysadmin
adduser newuser
usermod -a -G sysadmin newuser
chmod u+w /etc/sudoers
echo "\n# Added by <YOUR-NAME>\n%sysadmin ALL=(ALL) ALL" >> /etc/sudoers
chmod u-w /etc/sudoers
su newuser -c "mkdir /home/newuser/.ssh"
su newuser -c "chmod 0700 /home/newuser/.ssh"
su newuser -c 'echo "<YOUR-SSH-KEY>" >> /home/newuser/.ssh/authorized_keys'
su newuser -c "chmod 0644 /home/newuser/.ssh/authorized_keys"
Você pode modificar se de acordo com suas necessidades. Torná-lo interativo, use um usuário vairable etc.:)
Aproveite!
Existe uma condição na qual você realmente precisa da senha de root: se um sistema de arquivos falhar no fsck ao inicializar, você será tipicamente solicitado a digitar a senha de root para obter um prompt do shell onde você pode reparar o dano. Nesse ponto, nem contas de usuário regulares nem SSH estarão disponíveis. Se o sysadmin não souber a senha do root, a única outra opção seria inicializar a partir de mídia alternativa.
De acordo com as práticas recomendadas:
O login do Ssh com usuário root deve ser proibido
/ etc / ssh / sshd_config comente a seguinte linha:
PermitRootLogin yes
Crie um grupo e coloque todos os usuários sysadmins nele
groupadd <sysadm_group>
e groupmod -A <user1>,<user2> <sysadm_group>
edite o arquivo / etc / sudoers.
visudo
Adicione na parte inferior: %<sysadm_group> ALL=(ALL) ALL
A senha raiz deve ser armazenada em local seguro e usada somente em situações de emergência.
Minhas anotações sobre o sudo: (ATENÇÃO - minhas anotações são apenas minha coleção do nosso próprio google. Eu as coloco porque pode ajudar novatos, alunos lentos como eu;) .. se você disser que a informação não é correta , ou apenas uma cópia do wiki, ou plágio, blá, blá, blá, então deixe-me saber através de um comentário, eu ficaria muito feliz em excluir meu post, do que seus votos negativos)
Para obter uma listagem de arquivos de um diretório ilegível:
% sudo ls / usr / local / protegido
Para listar o diretório inicial do usuário yazza em uma máquina na qual o sistema de arquivos contendo ~ yazza não é exportado como root:
% sudo-uazza ls ~ yazza
Para editar o arquivo index.html como usuário www:
% sudo -u www vi ~ www / htdocs / index.html
Para desligar uma máquina:
% shutdown do sudo -r +15 "reinicialização rápida"