众所周知,建议系统管理员使用普通用户(非 root)登录系统。当管理员需要做特权任务时, sudo可以用来成为超级用户。在获得请求的权限之前,系统将提示管理员输入第一次登录时使用的相同密码。
我想知道是否可以将系统配置为在执行sudo. 因此,用户将有两个密码。第一个密码将提供对 SSH 会话的访问权限。另一个密码(不同的密码)将用于获得管理员(root)权限。
这可能吗?我认为这将增加系统的安全性。你同意吗?
顺便说一句,这将类似于 Cisco 设备使用的访问控制。首先,管理员使用密码登录。然后,访问“启用”(特权)模式需要另一个密码(可以是不同的或相同的密码)。
通过密码的 SSH 不如使用 DSA/RSA 证书的 SSH 安全。使用密码创建证书。然后给系统管理员帐户一个不同的密码。
如果您拥有证书并且知道与之关联的密码,您将只能通过 SSH 登录。
然后,您可以使用不同的密码来运行 sudo(用户密码)。
这为您提供了更多的安全性!
请记住使用密码短语而不是密码。密码短语的区别是由许多单词组成(超过 20 个字符)。密码越长,通过字典攻击破解所需的时间就越长。
要创建证书:
您可能希望使用
su root而不是sudo,但我强烈建议您遵循 tommed 提供的答案。