你好,我想试用一些开发ops/sysads/db管理员,但在他们证明自己的技能之前,我不想把王国的钥匙交给他们。
我希望TeamViewer可以手动允许特定会话,而他们不是系统用户。必要时,我会在 sudo 命令中输入密码。
搜索此内容时,我看到很多讨论tmux和屏幕,但这些似乎都是关于现有用户选择随意共享会话。我宁愿不必创建低访问权限用户并清除我的权限。
我们正在奔跑Centos 6。
有什么建议么?
答案1
好吧,如果你安装了 GUI,那么你只需安装一个 vncserver 即可。甚至 Teamviewer 本身也可能可以使用(是的,它有一个 Linux 版本)。
但从安全角度来看:为什么不创建一个新用户(我的意思是这是一个命令,而不是任何工作),然后通过 sudoers 文件控制他可以做什么。它甚至会记录用户的操作。因此,如果用户破坏了某些东西,您至少有证据。
答案2
简短答案
不。
长答案
这样的会话仍然必须与具有足够权限的用户绑定,以便做出候选人需要证明其“技能”的更改。
你甚至不应该想让不可信的外人接触敏感的机器,即使你可以实时监控它们的工作。任何这样做的人都没有注意他们的CVE在我写这篇文章的时候,十三仅在过去 3 个月内,Linux 内核漏洞数量就达到了 1000 万个。(稍后单击该链接可能会得到不同数量的结果。)大多数情况下,要利用这些漏洞,您需要做的就是能够在启用了受影响功能的系统上以普通用户身份运行命令。
我建议,如果你需要看看是否有人可以做系统管理员的工作,你可以建立一个虚拟机,授予潜在客户完整的 root 权限,然后让他们自由发挥。
如果您想看看他们能否修复问题,请将虚拟机设置为工作状态,拍摄快照,故意损坏虚拟机,然后在将其交给他们之前设置另一个快照。这样您就可以回滚到损坏状态以准备下一个候选,或者回滚到原始状态以设置不同形式的损坏。某些虚拟机系统允许您设置此类场景的“树”,不同的虚拟机从先前副本的不同点分支出来。
如果您想要了解他们是否可以设置某项特定服务,请安装操作系统的全新副本,该副本中的服务应处于默认状态或根本不安装。然后像以前一样,在允许潜在客户访问虚拟机之前拍摄快照。