Отключить удаленный вход в систему, но при этом разрешить su одному пользователю
Моя компания стремится защитить наши серверы Ubuntu 14.04 LTS, и мы хотели запретить отдельным пользователям возможность удаленного входа в систему, но все же позволить людям перейти на эту учетную запись пользователя, используя SU, если это необходимо для поддержки. Я нашел ответ на запрет входа в SSH здесь:
Как отключить удаленный SSH-вход как root с сервера?
Не помешает ли это использовать SU для пользователя, который был отклонен удаленный SSH-вход?
Конкретный пример: мы не хотим, чтобы люди регистрировались через SSH, используя учетную запись «specadmin», но пользователю «mary», возможно, потребуется войти в систему и SU в «specadmin», чтобы выполнить несколько специальная поддержка по SSH-соединению, возможно ли это (хотя я не уверен в лучшей модели). У нас нет локального доступа к серверам, потому что они облако.
1 ответ
Это точный прецедент для строк DenyUsers и AllowUsers в файле /etc/ssh/sshd_config. Вы можете войти в систему в качестве разрешенного пользователя и su для привилегированного пользователя, когда это необходимо.
Кроме того, если вы хотите усилить свои меры безопасности, вам следует изучить возможность использования проверки подлинности на основе паролей, основанной на парольной фразе, для регистрации как обычные пользователи (например, Мэри). Это довольно просто настроить и добавляет дополнительный уровень безопасности вашей системе.