我在一家开发和托管小型企业关键系统的公司工作。我们拥有一家专业托管服务提供商提供的“弹性云服务器”。
我最近收到一封电子邮件,说他们的备份解决方案出现了一些问题,需要安装新内核。他们希望我们向他们发送 root 密码,以便他们能够完成这项工作。我知道这封电子邮件是他们发来的。[电子邮件保护]或类似的东西。
我打电话询问他们此事,他们说“是的,我们需要密码才能做到这一点”。
通过电子邮件发送 root 密码似乎很奇怪。我有什么理由担心吗?
答案1
您谨慎行事是对的,因为这是一个不寻常的请求。他们是否提供了有关内核更新的详细信息 - 它是否包含任何特定于供应商的模块?暂时将安全因素放在一边,他们提议的更新是否会导致您正在运行的软件出现问题?
我建议你先弄清楚更新涉及哪些内容,以及你是否可以自己应用它。如果他们无法提供这些信息,请上报案例,以确切了解技术支持人员为何需要你的系统的 root 权限。
答案2
我曾在多家托管服务提供商工作过,可以说,很少会出现需要客户提供 root 密码的情况。这通常是当客户拥有专用箱体,并且客户已更改 root 的 authorized_keys,从而删除提供商访问权限时。
在 VPS 或“弹性云服务器”上,提供商可以直接通过虚拟机管理程序或底层根节点访问虚拟主机,因此无需从客户那里获取密码。如果提供商管理员说需要这样做,那是因为他们试图在公司授予管理员的权限升级之外做一些事情(即无权访问底层根节点)。
简而言之,除非您有专用的盒子,否则无需向客户询问 vps 或“虚拟”服务器的 root 密码。只需说您不允许交互式 ssh,只允许基于证书的访问……然后要求他们的公钥将他们添加到 pki 身份验证。由于他们更容易通过根节点访问,他们很可能会这样做。
答案3
我根本不会让任何人碰我的根帐户,尤其是 ISP。你如何验证另一端键盘后面的人的诚信?除非你和他们合作了一段时间,否则这是不可能的。只是我的 .02。
答案4
您向他们支付的服务是托管服务还是非托管服务?
如果管理得当——他们应该已经拥有了他们需要的信息。
如果不受管理,他们就无权登录,尤其是以 root 身份登录。