我是小公司所有者,目前pipe理大约15个基于Debian的盒子,提供VoIP和托pipePBX服务
公司正在增长,我没有时间pipe理所有这些机器
我想聘请系统pipe理员,但是我非常害怕给陌生人提供root权限。
许多事情可能会出错,他可以犯错误,他可以安装后门。 这不是关于破碎的系统。 错误pipe理的VoIP服务器可能会导致由于工具欺诈,高级号码呼叫等造成的重大损失。 损失可能会达数百万。
我读过post,说我必须有一定的信任度,如果有人会受到伤害,那么我可以起诉他。 但中小企业并不是这样。 在这种情况下,我的公司将在第一次庭审前破产。
在投票前 – 这个问题肯定不是新的或独特的,但我还没有find最近的serverfalut信息,可以应用到Debian服务器,并依靠软件许可证成本,我的小企业可以承受。 所以目前我看不到重复的线程。
无根访问可能不会产生效果,我无法想象如果没有root权限解决任何严重的系统问题。 也许我错了?
在这种情况下可以采用什么策略? 有没有什么软件可以帮忙?
如果你不能相信你的员工,你的公司永远不会成长。
直接回答你的问题; 您可以授予用户提升权限的权限,而不必将密码授予root用户帐户。 没有人应该使用root用户帐户。 甚至不是你。 你在找什么叫做“sudo”。 我相信你以前见过。
https://www.sudo.ws/intro.html
第1步。为自己拥有root用户权限的pipe理员帐户提供完整的sudo权限。 然后使用密码pipe理器为root帐户生成一个新的密码。 现在地球上没有人知道密码。 只有在紧急情况下才将其从密码pipe理器中取出。 今天开始使用您的新pipe理员帐户。
(现在,您的帐户所采取的所有行动都可以追踪到您,不要分享login信息,因为您无法分辨是谁做了什么。)
第2步。制作另一个pipe理帐户进行testing。 使用此帐户来certificate您授予和拒绝访问各种事物的能力。 您可以使用sudoers文件和ACL对sudofunction进行有限的控制。 这可以像你想的那样复杂或简单。
第3步。设想工作angular色。 devise您的系统,以便您可以授予对每个工作angular色的所有function的访问权限。 然后为这些angular色中的每一个做testing账户。 login到他们并certificate他们可以履行职责。 certificate他们不能做你不想要的东西。
阅读sudo和sudoers文件: https : //wiki.debian.org/sudo
一旦你了解用户scheme,考虑使用像puppet这样的系统来自动configuration你的系统。 木偶是复杂的。 如果你聘请了一个懂得如何使用木偶的人,那么这个人可能比你更了解Linuxpipe理。 相信那个人。 一个木偶大师可以自动保持所有系统的configuration同步。 把这个人付给好人,他们可能是你长期以来唯一需要的雇员。
https://puppet.com/products/puppet-enterprise
注意:考虑聘请专门从事Linux操作的networking安全专业人员。 这听起来像你需要一些帮助保护你的系统。