Estratégia para permitir acesso emergencial à equipe de colocation

3

Estou configurando um servidor em um novo centro de colocation em todo o mundo. Eles instalaram o SO para mim e me enviaram a senha de root, então obviamente há muita confiança neles.

No entanto, tenho certeza de que não quero que eles tenham minha senha root regularmente. E, de qualquer forma, pretendo permitir apenas o login baseado em chaves.

Em alguns casos, no entanto, pode ser útil permitir que o suporte técnico efetue login por meio de um terminal físico. Por exemplo, se eu de alguma forma atrapalhar as configurações do firewall.

  • Eu deveria me preocupar com isso?
  • Devo configurar uma conta sudoer com uma senha única que será alterada se eu a usar?
  • Existe uma estratégia comum para lidar com algo assim?
por itsadok 14.04.2010 / 13:00

3 respostas

7

Bem, muito obviamente dependerá das especificidades do caso, mas você deve ter em mente que com o acesso físico à máquina, eles praticamente podem fazer o que quiserem de qualquer maneira.

A solução comum para isso é dar a eles uma conta de manutenção dedicada que tenha direitos de root via sudo. Então você pode dar a eles o pw quando você quiser que eles tenham acesso root. Se você quiser tirar o acesso root, basta alterar o pw na conta de manutenção. Como alternativa, você pode manter a senha e ativar / desativar os direitos de root por meio da configuração do sudo, conforme necessário.

De qualquer forma, você pode configurar o SSH para permitir somente logins baseados em chave. Em seguida, a conta de manutenção + pw só seria utilizável para logins no console físico (mesmo se estiver habilitado), restringindo ainda mais o acesso ao sistema (se você quiser).

    
por 14.04.2010 / 13:17
3

Temos uma configuração semelhante para algumas caixas externas. Mantemos a senha da senha secreta e só a distribuímos quando é necessário. Quando isso é feito, nós a mudamos. Nós não permitimos login root via ssh, então a senha só é relevante quando você tem acesso físico.

    
por 14.04.2010 / 14:45
2

Você deve comprar uma opção de acesso via IP-KVM. Você terá acesso a tudo, incluindo o modo de usuário único e o BIOS.

    
por 14.04.2010 / 14:27