我时不时地收到奇怪的请求，要求在 Linux 系统上提供远程支持、故障排除和/或性能调整。

较大的公司通常已经有完善的程序来为供应商/供应商提供远程访问，我只需要遵守这些程序。（不论结果好坏。）

另一方面，小公司和个人总是求助于我，指导他们如何设置我。通常他们的服务器直接连接到互联网，现有的安全措施包括他们的 Linux 发行版的默认值。

我几乎总是需要 root 级别的访问权限，而为我设置访问权限的人并不是专业的系统管理员。我不想要他们的 root 密码，而且我也很确定我的行为不会是恶意的，但是我应该给出什么合理简单的指示：

• 设置帐户并安全地交换凭据
• 设置 root (sudo) 访问权限
• 限制访问我的帐户
• 提供审计线索

（是的，我知道并总是警告那些客户，一旦我拥有管理员访问权限，隐藏任何恶意行为都是微不足道的，但让我们假设我没有什么可隐藏的，并积极参与创建审计跟踪。）

以下步骤可以改进什么？

我当前的指令集：

设置帐户并安全地交换凭据

我提供了密码哈希并要求我的帐户设置了该加密密码，因此我们不需要传输明文密码，我将是唯一知道密码的人，我们不会从可预测的弱密码。

sudo useradd -p '$1$********' hbruijn

我提供了一个公钥 SSH（每个客户端的特定密钥对）并要求他们使用该密钥设置我的帐户：

sudo su - hbruijn
mkdir -p ~/.ssh
chmod 0700 ~/.ssh
echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***...***== hbruijn@serverfault' >> ~/.ssh/authorized_keys
chmod 0600 ~/.ssh/authorized_keys 

设置 root (sudo) 访问权限

sudo sudoedit我要求客户使用或使用他们最喜欢的编辑器为我设置 sudo 并附加到/etc/sudoers：

hbruijn ALL=(ALL) ALL

限制访问我的帐户

通常客户端仍然允许基于密码的登录，我要求他们添加以下两行以/etc/ssh/sshd_config至少将我的帐户限制为仅 SSH 密钥：

Match user hbruijn
PasswordAuthentication no

根据客户端，我将通过单个堡垒主机路由所有 SSH 访问，以始终提供单个静态 IP 地址（例如 192.168.1.2）和/或提供我的 ISP 使用的 IP 地址范围（例如 10.80. 0.0/14)。如果 SSH 访问受到限制，客户端可能需要将它们添加到防火墙白名单中（尽管 ssh 通常是未过滤的）。

您已经将这些 ip 地址视为文件中的from=限制，~.ssh/authorized_keys它限制了可以使用我的密钥访问其系统的主机。

提供审计线索

到目前为止，没有客户要求我这样做，除了以下内容之外，我还没有做任何具体的事情来掩盖我的屁股：

我尝试始终使用sudo单个命令并尝试防止使用sudo -ior sudo su -。我尽量不使用sudo vim /path/to/file ，而是使用sudoedit。

默认情况下，所有特权操作都将记录到 syslog（和/var/log/secure）：

Sep 26 11:00:03 hostname sudo:  hbruijn : TTY=pts/0 ; PWD=/home/hbruijn ; USER=jboss ; COMMAND=sudoedit /usr/share/jbossas/domain/configuration/domain.xml  
Sep 26 11:00:34 hostname sudo:  hbruijn : TTY=pts/0 ; PWD=/home/hbruijn ; USER=root ; COMMAND=/usr/bin/tail -n 5 /var/log/messages

我基本上放弃了自定义我的工作环境，我唯一真正做的就是在~/.bash_profile增加 bash 历史记录中设置以下内容并包含时间戳：

export HISTSIZE=99999999999
export HISTFILESIZE=99999999999
export HISTIGNORE="w:ls:ls -lart:dmesg:history:fg"
export HISTTIMEFORMAT='%F %H:%M:%S  '
shopt -s histappend