我正在世界各地的新托管中心设置一台服务器.他们为我安装了操作系统并向我发送了root密码,因此显然对它们有很大的信任.
但是,我很确定我不希望他们定期获得root密码.无论如何,我打算只允许基于密钥的登录.
但是,在某些情况下,让技术支持通过物理终端登录可能会很有用.例如,如果我以某种方式弄乱了防火墙设置.
>我是否还要担心这件事?
>我应该设置一个带有一次性密码的sudoer帐户,如果我使用它会改变吗?
>处理这样的事情是否有共同的策略?
好吧,很多显然取决于案例的具体情况,但你应该记住,通过物理访问机器,他们几乎可以做任何他们想要的事情.
对此的常见解决方案是为他们提供一个专用的维护帐户,该帐户通过sudo具有root权限.然后,当您希望他们具有root访问权限时,您可以给他们pw.如果要取消root访问权限,只需更改维护帐户的pw即可.或者,您可以保留密码,并根据需要通过sudo配置启用/禁用root权限.
无论如何,您可以将SSH配置为仅允许基于密钥的登录.然后维护帐户pw只能用于物理控制台的登录(即使已启用),进一步限制了对系统的访问(如果您愿意).
