在我们的管理团队中,每个人都拥有所有客户端服 但是,如果其中一名团队成员不再与我们合作,我们该怎么办?他仍然拥有我们的密码,每次有人离开我们时我们都必须更改密码.
现在我们使用ssh密钥而不是密码,但是如果我们必须使用ssh以外的东西,这没有用.
我运行的系统只有一个sudo -only策略.即,root密码是*(禁用),人们必须使用sudo来获得root访问权限.然后,您可以编辑sudoers文件以授予/撤消用户的访问权限.它非常精细,并且具有很多可配置性 - 但具有合理的默认值,因此设置时间不会太长.
我通常建议如下:
使用空白 root密码.
禁用telnet
为无根登录设置ssh(或仅通过公钥进行root登录)
通过将其添加到/ etc/suauth的顶部来禁用su到root:'root:ALL:DENY'
仅在控制台上启用root登录的安全tty(tty1-tty8)
使用sudo进行正常的root访问
现在,使用此设置,所有用户都必须使用sudo进行远程管理,但是当系统严重搞乱时,无需寻找root密码来解锁控制台.
编辑:提供自己的登录的其他系统管理工具也需要调整.
京公网安备 11010802040832号 | 京ICP备19059560号-6 