Как хорошо известно, рекомендуется, чтобы системный администратор входил в систему с использованием обычного пользователя (не root). Когда администратор должен выполнять привилегированные задачи, sudo
может использоваться, чтобы стать суперпользователем. Прежде чем получить запрошенные привилегии, администратору будет предложено ввести пароль SAME , использованный при первом входе в систему.
Мне было интересно, можно ли настроить систему так, чтобы она запрашивала у пользователя другой пароль при выполнении sudo
. Таким образом, у пользователя будет два пароля. Первый пароль обеспечит доступ к сеансу SSH. Другой пароль (не тот же самый) будет использоваться для получения прав администратора (root).
Возможно ли это? Я думаю, что это повысит безопасность системы. Согласны ли вы?
Кстати, это будет похоже на управление доступом, используемое устройствами Cisco. Во-первых, администратор войти в систему с помощью пароля. Затем для доступа к «активированному» (привилегированному) режиму требуется другой пароль (может быть другой или тот же пароль).
SSH через пароль менее безопасен, чем SSH с сертификатом DSA/RSA. Создайте сертификат с паролем. Затем сделайте sys администраторский отчет другой пароль.
Вы только сможете войти в систему через SSH, если Вы будете иметь сертификат И будете знать пароль, связанный с ним.
Можно затем использовать другой пароль для выполнения sudo (пароль пользователя).
Это дает Вам намного больше безопасности!
Не забудьте использовать пароли и не пароли также. Так как различием является пароль, составлен из многих слов (больше, чем 20 символов говорят). Чем дольше пароль, тем больше времени потребовалось бы для повреждения через атаки с подбором по словарю.
Создать сертификат:
Возможно, вы захотите использовать su root
вместо sudo
, но я настоятельно рекомендую следовать ответу Томмеда.