¿Cómo otorgar acceso temporal al servidor?

15

Contraté a un consultor remoto para ajustar mis servidores. Ahora, no estoy 100% seguro de darle la contraseña de root y permitirle hacer lo que quiera en los servidores. Idealmente, quiero ver todo lo que está haciendo en mis servidores (en tiempo real) y también encontrar una manera de no compartir la contraseña de root con él.

¿Existen algunas prácticas recomendadas para permitir que un consultor remoto acceda a su servidor?

EDITAR: Para aclarar, quiero hacer algún tipo de pantalla compartida con el consultor. ¿Hay algún método por el cual sus comandos se tunelen a través de mi cuenta sin que él obtenga ninguna contraseña?

PD: mis servidores están en Ubuntu 9.10

Paras Chopra
fuente
44
Creo que la confianza debe venir antes que cualquier otra cosa . Si no confías en él (lo suficiente), no dejes que se meta con tu servidor. Además, haga una copia de seguridad por si acaso e intente no tener datos confidenciales en el servidor.
Cristian Ciupitu

Respuestas:

8

Puede dejar que se conecte con una cuenta normal y luego monitorear su sesión SSH . La solución basada en pantalla es la mejor en mi opinión y le permitirá hacer "emparejar" la administración del sistema. Por ejemplo, podría escribir los comandos sudo y usted escribiría la contraseña en caso de que sea necesaria.

PD: si usa la pantalla, no significa que no deba usar también sudosh2 u otras soluciones.

Cristian Ciupitu
fuente
15

En lugar de otorgarle la contraseña de root, use sudo.

Si desea ver todo lo que está haciendo en tiempo real como superusuario, consulte sudosh2 . De los documentos:

sudosh es un filtro de shell de auditoría y se puede utilizar como shell de inicio de sesión. Sudosh registra todas las pulsaciones de teclas y salidas y puede reproducir la sesión como si fuera una videograbadora.

"Todas las pulsaciones de teclas" incluye pulsaciones de teclas de los espacios de retroceso, eliminar caracteres, la "palabra de borrado" de BASH, etc. Puede ver los errores tipográficos y las correcciones vergonzosas, etc.

sudosh admitirá syslog, y puede enviar los registros a un servidor remoto de syslog. Esto aseguraría que el usuario no pueda borrar todas las copias de los registros de auditoría.

Tenga en cuenta que el proyecto original sudosh (la primera versión) ha sido abandonado por su autor. sudosh2 está vivo y bien.

Stefan Lasiewski
fuente
2

Realmente depende del nivel de acceso que quieras darle. En primer lugar, nunca habilitaría los inicios de sesión remotos de root. Solo las cuentas "normales" deben tener acceso remoto, luego configure sudo para lo que esa persona necesite.

Chris S
fuente
¿Pero no es una cuenta con sudo equivalente a proporcionar acceso de root?
Paras Chopra
44
@Paras Chopra - depende del tipo de configuración que use - puede limitar el sudoacceso a ciertos comandos, por ejemplo
warren
2

Primero, debe tener objetivos claramente definidos para lo que le gustaría que hiciera. Una vez que se definen esos objetivos, puede otorgarle el nivel de acceso requerido para lograr esos objetivos.

Es como dejar mi auto en el taller de reparaciones y decirles que "lo arreglen". Lo siguiente que sabes es que tengo una factura por miles de dólares y han hecho cosas que no quería y no pedí.

joeqwerty
fuente
0

Estoy agregando otra respuesta diferente en respuesta a su actualización.

Usando la pantalla GNU, puede compartir una pantalla con otro usuario. Esto significa que puede escribir comandos, y usted ve todo lo que escribe. Puedes escribir comandos y él puede ver lo que escribes. Cuando se le solicita una contraseña, puede escribir la contraseña, pero el contenido de la contraseña no se imprime en la pantalla (Nota: aunque el texto no se imprime en la pantalla, no estoy seguro de si el otro usuario podría obtener acceso a sus pulsaciones de teclas de otra manera, o tener acceso al búfer de pulsaciones de teclas, etc.).

Mas información en http://www.debian-administration.org/article/Using_GNU_screen%27s_multiuser_feature_for_remote_support

Otra sugerencia: cambie la contraseña de root por una contraseña temporal de antemano. Cuando se haya ido, restaure la contraseña de root a la contraseña original.

Stefan Lasiewski
fuente
1
Ya he sugerido usar la pantalla .
Cristian Ciupitu
0

Si solo permite el acceso de clave pública a su servidor pero no puede iniciar sesión con contraseña, puede revocar el derecho de acceso en cualquier momento que desee quitando la clave que le dio al consultor.

Una vez en la máquina, la pantalla GNU debería proporcionar todas las funciones deseadas, como sugirió Cristian Ciupitu. Si desea agregar mayor comodidad, sudosh2 podría ayudarlo, pero su historial de proyectiles y la copia impresa de la pantalla podrían ayudarlo a reproducir los comandos más adelante ...

MaoPU
fuente