因此,我需要为我的一位同事创建一个 ssh 登录名,以便他能够安装新的东西(尤其是 python 包)并重新启动服务。我很乐意给予他对所有内容的完全权限,除了a)少数具有我的访问密钥和密码的环境文件以及b)进一步提升他的权限。
这样做的好方法是什么?
我运行的是 Ubuntu 14
答案1
您无法授予用户访问“除少数文件之外的所有内容”的权限。如果他们可以修改系统配置,那么他们就可以更改这些设置并授予自己完全访问权限。如果他们可以安装以 root 身份运行的服务,那么他们就可以安装一个给予他们完全访问权限的程序。如果他们可以安装您运行的程序,那么他们可以安装一个在您第一次运行时泄露您的秘密的程序。
如果您不信任其他管理员,请勿在计算机上存储任何机密。
将您的机密文件和需要共同管理的服务放在不同的计算机上。您当然可以使用虚拟机或容器,它们不必是单独的物理机。在虚拟机/容器中运行共同管理的服务,并仅向您的同事授予虚拟机/容器中的管理员访问权限。