我时不时地收到奇怪的请求,要求在 Linux 系统上提供远程支持、故障排除和/或性能调整。
较大的公司通常已经有完善的程序来为供应商/供应商提供远程访问,我只需要遵守这些程序。(不论结果好坏。)
另一方面,小公司和个人总是求助于我,指导他们如何设置我。通常他们的服务器直接连接到互联网,现有的安全措施包括他们的 Linux 发行版的默认值。
我几乎总是需要 root 级别的访问权限,而为我设置访问权限的人并不是专业的系统管理员。我不想要他们的 root 密码,而且我也很确定我的行为不会是恶意的,但是我应该给出什么合理简单的指示:
- 设置帐户并安全地交换凭据
- 设置 root (sudo) 访问权限
- 限制访问我的帐户
- 提供审计线索
(是的,我知道并总是警告那些客户,一旦我拥有管理员访问权限,隐藏任何恶意行为都是微不足道的,但让我们假设我没有什么可隐藏的,并积极参与创建审计跟踪。)
以下步骤可以改进什么?
我当前的指令集:
设置帐户并安全地交换凭据
我提供了密码哈希并要求我的帐户设置了该加密密码,因此我们不需要传输明文密码,我将是唯一知道密码的人,我们不会从可预测的弱密码。
sudo useradd -p '$1$********' hbruijn
我提供了一个公钥 SSH(每个客户端的特定密钥对)并要求他们使用该密钥设置我的帐户:
sudo su - hbruijn
mkdir -p ~/.ssh
chmod 0700 ~/.ssh
echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***...***== hbruijn@serverfault' >> ~/.ssh/authorized_keys
chmod 0600 ~/.ssh/authorized_keys
设置 root (sudo) 访问权限
sudo sudoedit我要求客户使用或使用他们最喜欢的编辑器为我设置 sudo 并附加到/etc/sudoers:
hbruijn ALL=(ALL) ALL
限制访问我的帐户
通常客户端仍然允许基于密码的登录,我要求他们添加以下两行以/etc/ssh/sshd_config至少将我的帐户限制为仅 SSH 密钥:
Match user hbruijn
PasswordAuthentication no
根据客户端,我将通过单个堡垒主机路由所有 SSH 访问,以始终提供单个静态 IP 地址(例如 192.168.1.2)和/或提供我的 ISP 使用的 IP 地址范围(例如 10.80. 0.0/14)。如果 SSH 访问受到限制,客户端可能需要将它们添加到防火墙白名单中(尽管 ssh 通常是未过滤的)。
您已经将这些 ip 地址视为文件中的from=限制,~.ssh/authorized_keys它限制了可以使用我的密钥访问其系统的主机。
提供审计线索
到目前为止,没有客户要求我这样做,除了以下内容之外,我还没有做任何具体的事情来掩盖我的屁股:
我尝试始终使用sudo单个命令并尝试防止使用sudo -ior sudo su -。我尽量不使用sudo vim /path/to/file ,而是使用sudoedit。
默认情况下,所有特权操作都将记录到 syslog(和/var/log/secure):
Sep 26 11:00:03 hostname sudo: hbruijn : TTY=pts/0 ; PWD=/home/hbruijn ; USER=jboss ; COMMAND=sudoedit /usr/share/jbossas/domain/configuration/domain.xml
Sep 26 11:00:34 hostname sudo: hbruijn : TTY=pts/0 ; PWD=/home/hbruijn ; USER=root ; COMMAND=/usr/bin/tail -n 5 /var/log/messages
我基本上放弃了自定义我的工作环境,我唯一真正做的就是在~/.bash_profile增加 bash 历史记录中设置以下内容并包含时间戳:
export HISTSIZE=99999999999
export HISTFILESIZE=99999999999
export HISTIGNORE="w:ls:ls -lart:dmesg:history:fg"
export HISTTIMEFORMAT='%F %H:%M:%S '
shopt -s histappend
