itsadok Asked: 2010-04-15 03:00:02 +0800 CST2010-04-15 03:00:02 +0800 CST 2010-04-15 03:00:02 +0800 CST 允许紧急访问托管人员的策略 772 我正在世界另一端的新托管中心设置服务器。他们为我安装了操作系统并向我发送了 root 密码,因此显然对他们非常信任。 但是,我很确定我不希望他们定期拥有我的 root 密码。无论如何,我打算只允许基于密钥的登录。 但是,在某些情况下,让他们的技术支持通过物理终端登录可能会很有用。例如,如果我以某种方式弄乱了防火墙设置。 我应该为此烦恼吗? 我是否应该使用一次性密码设置一个 sudoer 帐户,如果我使用它会更改它? 是否有处理此类事情的通用策略? linux security colocation 3 个回答 Voted Best Answer sleske 2010-04-15T03:17:58+08:002010-04-15T03:17:58+08:00 好吧,很多显然取决于案件的具体情况,但你应该记住,通过物理访问机器,他们实际上可以做任何他们想做的事情。 常见的解决方案是通过 sudo 为他们提供一个具有 root 权限的专用维护帐户。然后,当您希望他们具有 root 访问权限时,您可以给他们密码。如果要取消root访问权限,只需更改维护帐户上的密码即可。或者,您可以保留密码,并根据需要通过 sudo 配置启用/禁用 root 权限。 无论如何,您都可以将 SSH 配置为仅允许基于密钥的登录。那么维护账户 + pw 将只能用于物理控制台的登录(即使它已启用),进一步限制对系统的访问(如果您愿意)。 rkthkr 2010-04-15T04:45:59+08:002010-04-15T04:45:59+08:00 我们对一些外部盒子进行了类似的设置。我们将根密码保密,仅在需要时才将其提供,完成后我们会更改它。我们不允许通过 ssh 进行 root 登录,因此密码仅在您获得物理访问权限时才相关。 minaev 2010-04-15T04:27:09+08:002010-04-15T04:27:09+08:00 您应该购买通过 IP-KVM 访问的选项。您将可以访问所有内容,包括单用户模式和 BIOS。
好吧,很多显然取决于案件的具体情况,但你应该记住,通过物理访问机器,他们实际上可以做任何他们想做的事情。
常见的解决方案是通过 sudo 为他们提供一个具有 root 权限的专用维护帐户。然后,当您希望他们具有 root 访问权限时,您可以给他们密码。如果要取消root访问权限,只需更改维护帐户上的密码即可。或者,您可以保留密码,并根据需要通过 sudo 配置启用/禁用 root 权限。
无论如何,您都可以将 SSH 配置为仅允许基于密钥的登录。那么维护账户 + pw 将只能用于物理控制台的登录(即使它已启用),进一步限制对系统的访问(如果您愿意)。
我们对一些外部盒子进行了类似的设置。我们将根密码保密,仅在需要时才将其提供,完成后我们会更改它。我们不允许通过 ssh 进行 root 登录,因此密码仅在您获得物理访问权限时才相关。
您应该购买通过 IP-KVM 访问的选项。您将可以访问所有内容,包括单用户模式和 BIOS。