Wie kann ich dem Server temporären Zugriff gewähren?

15

Ich habe einen Remote-Berater beauftragt, meine Server zu optimieren. Jetzt bin ich nicht hundertprozentig zuversichtlich, ihm ein Root-Passwort zu geben und ihm zu erlauben, auf den Servern alles zu tun, was er will. Im Idealfall möchte ich alles sehen, was er (in Echtzeit) mit meinen Servern tut, und auch eine Möglichkeit finden, das root-Passwort nicht mit ihm zu teilen.

Gibt es bewährte Methoden, um einem Remote-Berater den Zugriff auf Ihren Server zu ermöglichen?

EDIT: Zur Verdeutlichung möchte ich eine Art Screen-Share mit dem Berater durchführen. Gibt es eine Methode, mit der seine Befehle durch meinen Account getunnelt werden, ohne dass er jemals ein Passwort erhält?

PS: Meine Server sind auf Ubuntu 9.10

linux  ubuntu  guest 
Paras Chopra
quelle
4
Ich denke, dass Vertrauen vor allem anderen kommen sollte . Wenn du ihm nicht genug vertraust, lass ihn nicht mit deinem Server herumspielen. Erstellen Sie außerdem für alle Fälle ein Backup und versuchen Sie, keine vertraulichen Daten auf dem Server zu haben.
Cristian Ciupitu

Antworten:

8

Sie können ihn mit einem normalen Konto verbinden lassen und dann seine SSH-Sitzung überwachen . Die bildschirmbasierte Lösung ist meiner Meinung nach die beste und lässt Sie die Systemadministration "koppeln". Zum Beispiel könnte er die sudo-Befehle eingeben und Sie würden das Passwort eingeben, falls es benötigt wird.

PS Wenn Sie screen verwenden, heißt das nicht, dass Sie nicht auch sudosh2 oder andere Lösungen verwenden sollten.

Cristian Ciupitu
quelle
15

Verwenden Sie sudo, anstatt ihm das root-Passwort zu erteilen.

Wenn Sie alles sehen möchten, was er als Superuser in Echtzeit tut, schauen Sie sich sudosh2 an . Aus den Dokumenten:

sudosh ist ein Auditing-Shell-Filter und kann als Login-Shell verwendet werden. Sudosh zeichnet alle Tastenanschläge und Ausgaben auf und kann die Sitzung wie ein Videorecorder wiedergeben.

"Alle Tastenanschläge" umfassen Tastenanschläge aus Leerzeichen, das Löschen von Zeichen, das "Löschen von Wörtern" von BASH usw. Sie können die peinlichen Tippfehler und Korrekturen von Personen usw. anzeigen.

sudosh unterstützt syslog, und Sie können die Protokolle an einen Remote-Syslog-Server senden. Dies würde sicherstellen, dass der Benutzer nicht alle Kopien der Überwachungsprotokolle löschen kann.

Beachten Sie, dass das ursprüngliche Projekt sudosh (die erste Version) vom Autor aufgegeben wurde. sudosh2 lebt und es geht ihm gut.

Stefan Lasiewski
quelle
2

Es hängt wirklich davon ab, auf welcher Zugriffsebene Sie ihm / ihr Zugriff gewähren möchten. Ich würde niemals Remote-Root-Anmeldungen aktivieren. Nur "normale" Konten sollten über Remotezugriff verfügen. Konfigurieren Sie dann sudo für alle Anforderungen dieser Person.

Chris S
quelle
Aber ist ein Konto mit sudo nicht gleichbedeutend mit Root-Zugriff?
Paras Chopra
4
@Paras Chopra - es hängt davon ab, welche Art von Konfiguration Sie verwenden - Sie können den sudoZugriff auf bestimmte Befehle einschränken , zum Beispiel
warren
2

Zunächst sollten Sie klar definierte Ziele für das haben, was er tun soll. Sobald diese Ziele definiert sind, können Sie ihm den erforderlichen Zugriff gewähren, um diese Ziele zu erreichen.

Es ist, als würde ich mein Auto in der Werkstatt abstellen und ihnen sagen, dass sie es reparieren sollen. Das nächste, was Sie wissen, ist, dass ich eine Rechnung für Tausende von Dollar habe und sie haben Dinge getan, die ich nicht wollte und die ich nicht verlangte.

Joeqwerty
quelle
0

Ich füge eine andere Antwort als Antwort auf Ihr Update hinzu.

Mit dem GNU-Bildschirm können Sie einen Bildschirm für einen anderen Benutzer freigeben. Dies bedeutet, dass er Befehle eingeben kann und Sie alles sehen, was er eingibt. Sie können Befehle eingeben und er kann sehen, was Sie eingeben. Wenn er zur Eingabe eines Kennworts aufgefordert wird, können Sie das Kennwort eingeben, der Inhalt des Kennworts wird jedoch nicht auf dem Bildschirm angezeigt (Hinweis: Der Text wird zwar nicht auf dem Bildschirm angezeigt, ich bin jedoch nicht sicher, ob der andere Benutzer Zugriff erhalten kann auf andere Weise auf Ihre Tastenanschläge zugreifen oder Zugriff auf den Tastenanschlagspuffer haben, usw.).

Weitere Informationen finden Sie unter http://www.debian-administration.org/article/Using_GNU_screen%27s_multiuser_feature_for_remote_support

Ein weiterer Vorschlag: Ändern Sie vorher das Root-Passwort in ein temporäres Passwort. Wenn er gegangen ist, stellen Sie das Root-Passwort auf das ursprüngliche Passwort wieder her.

Stefan Lasiewski
quelle
1
Cristian Ciupitu
0

Wenn Sie nur öffentlichen Schlüsselzugriff auf Ihren Server, aber keine Kennwortanmeldung zulassen, können Sie das Zugriffsrecht jederzeit widerrufen, indem Sie den Schlüssel entfernen, den Sie dem Berater gegeben haben.

Einmal auf der Maschine, sollte der GNU-Bildschirm alle gewünschten Funktionen bieten - wie Cristian Ciupitu vorschlug. Wenn Sie zusätzlichen Komfort hinzufügen möchten, kann Ihnen sudosh2 helfen, aber der Verlauf Ihrer Shells und die Bildschirmkopie können Ihnen helfen, die Befehle später wiederzugeben ...

MaoPU
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.