以root身份运行的多个Linux系统管理员

前端之家收集整理的这篇文章主要介绍了以root身份运行的多个Linux系统管理员前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在我们的团队中,我们有三个经验丰富的 Linux系统管理员必须管理几十个Debian服务器.以前我们都使用SSH公钥认证以root身份工作.但我们讨论了该场景的最佳实践,并且无法就任何事情达成一致.

每个人的SSH公钥都放在~root / .ssh / authorized_keys2中

>优点:易于使用,SSH代理转发工作轻松,开销小
>缺点:缺少审计(你永远不知道哪个“根”做了改变),事故发生的可能性更大

使用个性化帐户和sudo

这样我们就可以使用SSH公钥登录个性化帐户,并使用sudo以root权限执行单个任务.此外,我们可以给自己“adm”组,允许我们查看日志文件.

>优势:良好的审计,sudo阻止我们太容易做愚蠢的事情
>缺点:SSH代理转发中断,这很麻烦,因为几乎没有任何东西可以作为非root用户完成

使用多个UID 0用户

这是一个系统管理员提出的非常独特的建议.他建议在/ etc / passwd中创建三个用户,所有用户都有UID 0但登录名不同.他声称这实际上并未被禁止,并且允许每个人都是UID 0,但仍然能够进行审核.

>优势:SSH代理转发工作,审计可能工作(未经测试),没有sudo麻烦
>缺点:感觉非常脏 – 无法在任何地方找到它作为允许的方式记录

你会建议什么?

解决方法

第二个选项是最好的一个恕我直言.个人帐户,sudo访问.完全禁用SSH的root访问权限.我们有几百台服务器和六个系统管理员,这就是我们这样做的方式.

代理转发如何完全破解?

另外,如果在每个任务前使用sudo都是如此麻烦,你可以用sudo -s调用sudo shell或者用sudo su切换到root shell –

猜你在找的Linux相关文章