似乎每个人都同意授予用户 SSH 登录权限root是个坏主意 (tm)。但这是否意味着我应该在我管理的每台机器上为自己创建一个帐户?一个具有sudo权限的帐户?您通常会创建一个通用帐户,还是为每个应该访问该机器的人创建一个帐户?
答案1
如果您有大量用户或大量机器,请考虑使用 pam 身份验证和 ldap 服务器。这样,您就可以在一个位置进行所有网络身份验证。
也就是说,如果网络连接丢失,具有 sudo 权限的通用用户帐户可能会有所帮助。
答案2
一切都取决于情况。我同意 joschi 的观点,使用公钥身份验证在安全性方面是相当不错的。但是,这可能不是您想要的另一个原因是您无法轻松追踪谁真正做了哪些更改。如果人们必须使用他们的个人凭据登录,然后使用 su 或 sudo,那么追溯更改的发起者就容易得多。
我们拥有混合环境,并且我们在任何地方(包括所有 Linux 服务器)都使用 MS Active Directory 进行用户身份验证。IT 人员(我们只有 5 人)还拥有基于密钥的根帐户访问权限,以备不时之需。