Вопросы Теги

Защита учетной записи системного администратора

Как хорошо известно, рекомендуется, чтобы системный администратор входил в систему с использованием обычного пользователя (не root). Когда администратор должен выполнять привилегированные задачи, sudo может использоваться, чтобы стать суперпользователем. Прежде чем получить запрошенные привилегии, администратору будет предложено ввести пароль SAME , использованный при первом входе в систему.

Мне было интересно, можно ли настроить систему так, чтобы она запрашивала у пользователя другой пароль при выполнении sudo. Таким образом, у пользователя будет два пароля. Первый пароль обеспечит доступ к сеансу SSH. Другой пароль (не тот же самый) будет использоваться для получения прав администратора (root).

Возможно ли это? Я думаю, что это повысит безопасность системы. Согласны ли вы?

Кстати, это будет похоже на управление доступом, используемое устройствами Cisco. Во-первых, администратор войти в систему с помощью пароля. Затем для доступа к «активированному» (привилегированному) режиму требуется другой пароль (может быть другой или тот же пароль).

4
задан 28 November 2010 в 16:12

2 ответа

SSH через пароль менее безопасен, чем SSH с сертификатом DSA/RSA. Создайте сертификат с паролем. Затем сделайте sys администраторский отчет другой пароль.

Вы только сможете войти в систему через SSH, если Вы будете иметь сертификат И будете знать пароль, связанный с ним.

Можно затем использовать другой пароль для выполнения sudo (пароль пользователя).

Это дает Вам намного больше безопасности!

Не забудьте использовать пароли и не пароли также. Так как различием является пароль, составлен из многих слов (больше, чем 20 символов говорят). Чем дольше пароль, тем больше времени потребовалось бы для повреждения через атаки с подбором по словарю.

Создать сертификат:

  • введите ssh-keygen на терминале и следуйте инструкциям (предоставление уникального имени файла и введите Ваш пароль),
  • затем скопируйте открытый ключ на сервер, Вы администрируете использование ssh-copy-id-i path/to/your/sshkey.pub
  • Теперь войдите в систему своего сервера и выключите аутентификацию по паролю в/etc/ssh/sshd_config и перезапустите sshd сервис
8
ответ дан 28 November 2010 в 16:12

Возможно, вы захотите использовать su root вместо sudo, но я настоятельно рекомендую следовать ответу Томмеда.

0
ответ дан 28 November 2010 в 16:12

Другие вопросы по тегам:

Похожие вопросы: