我正在地球另一端的一个新的主机托管中心设置服务器。他们帮我安装了操作系统,并给我发送了 root 密码,所以很明显我对他们非常信任。
但是,我非常确定我不希望他们经常知道我的 root 密码。而且无论如何,我打算只允许基于密钥的登录。
但在某些情况下,让他们的技术支持通过物理终端登录可能会很有用。例如,如果我不知何故弄乱了防火墙设置。
- 我有必要担心这个吗?
- 我是否应该设置一个 sudoer 帐户,并使用一次性密码,该密码在我使用时会更改?
- 是否有一个通用的策略来处理此类事情?
答案1
嗯,显然很多事情取决于案件的具体情况,但你应该记住,只要能够物理访问机器,他们几乎可以做任何他们想做的事情。
对此的常见解决方案是通过 sudo 为他们提供一个具有 root 权限的专用维护帐户。然后,当您希望他们具有 root 访问权限时,您可以为他们提供密码。如果您想取消 root 访问权限,只需更改维护帐户上的密码即可。或者,您可以保留密码,并根据需要通过 sudo 配置启用/禁用 root 权限。
无论如何,你可以将 SSH 配置为仅允许基于密钥的登录。这样,维护帐户 + pw 就只能用于物理控制台上的登录(即使已启用),从而进一步限制对系统的访问(如果你愿意的话)。
答案2
我们对一些外部设备进行了类似的设置。我们保密 root 密码,只在需要时才提供,用完后再更改。我们不允许 root 通过 ssh 登录,因此密码仅在您获得物理访问权限时才有用。
答案3
您应该购买通过 IP-KVM 进行访问的选项。您将可以访问所有内容,包括单用户模式和 BIOS。