在这里,我们在UNIX上有一个非根共享的登录帐户,该帐户用于管理特定的应用程序。该政策不允许直接登录共享帐户。您必须以自己的身份登录,然后使用“ su”命令切换到共享帐户。这是出于日志记录/安全性目的。
我已经开始对代理使用SSH公钥/私钥身份验证,以允许我每天输入一次密码,并让代理转发在一天的剩余时间内消除密码提示。真的很好
但是,某些系统已被锁定,因此我确实必须使用“ su”命令来访问共享帐户。啊!一直回到输入密码!
是否有足够的信息通过SSH公钥/私钥身份验证进行记录,以便我有合理的机会请求策略更改以允许在使用公钥/私钥的情况下远程登录共享帐户?
我在/ var / log / secure中有一个管理员看,它只是说从特定IP地址为用户帐户接受了公钥。它没有说是谁的公钥,还是谁的私钥进行了身份验证。
Answers:
另一种方法是移出authorized_keys用户范围(例如/etc/ssh/authorized_keys),以便只有sysadmins可以控制哪些公共密钥可用于登录给定帐户。
我们曾经将AuthorizedKeysFile指令更改sshd_config为如下所示。
AuthorizedKeysFile /etc/ssh/authorized_keys/%u
然后/etc/ssh/authorized_keys为应该能够登录的每个用户创建文件,并在其中填充文件,并确保该root文件仅对根目录和相应用户可读的其他文件可读/可写,如下所示:
-rw------- 1 root root 1,7K 2008-05-14 14:38 root
-rw-r----- 1 root john 224 2008-11-18 13:15 john
每个文件包含一组公共密钥,将允许它们登录到给定帐户。每个用户帐户也都有一个相应的组,这很常见。
使用公钥/私钥是控制远程用户访问的一种更好的方法。您不必每个月都更改密码(也不必设置密码),也不必仅因为员工离开公司而删除密码即可更改密码。当然http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&sektion=8#SSHRC也可以使用SSH选项()细化给定用户可以访问的内容和来源。
SSH公钥/私钥认证与主机认证是分开的。您真不走运。您可以请求允许特定组的成员通过sudo不带密码的方式运行某些管理命令-例如下面的示例波纹管允许该secretaries组中的用户管理帐户:
# file: /etc/sudoers
...
%secretaries ALL= NOPASSWD: /usr/bin/adduser, /usr/bin/rmuser
...
-u选项可让您执行此操作,请参见手册sudo.ws/sudo/man/1.8.1/sudo.man.html