我在一家开发和托pipe小型企业关键系统的公司工作。 我们有一个来自专业主机提供商的“弹性云服务器”。
我最近从他们那里收到一封电子邮件,说他们的备份解决scheme存在一些问题,他们需要安装一个新的内核。 他们希望我们给他们发送root密码,以便他们能够完成这项工作。 我知道电子邮件来自他们。 这不是[email protected]或类似的东西。
我打电话给他们,问他们这个问题,他们说:“是的,我们需要密码才能做到这一点”。
像这样通过电子邮件发送root密码似乎很奇怪。 我有什么理由担心吗?
你是谨慎的,因为这是一个不寻常的要求。 他们是否提供了内核更新所需的细节 – 是否包含任何特定于供应商的模块? 暂且抛开安全因素,他们提出的更新是否会对正在运行的软件造成问题?
我build议找出更新涉及什么,如果你可以自己申请。 如果他们无法提供这些信息,请提升案例以确定技术支持为什么需要系统上的root权限。
曾经在几个托pipe服务提供商工作,我可以说有一些罕见的情况下,需要从客户的根密码。 这通常是当客户有一个专门的盒子,并且客户已经改变了root的authorized_keys,以便去除提供者访问。
在VPS或“弹性云服务器”上,提供商可以直接通过pipe理程序或底层根节点访问虚拟主机,因此不需要从客户那里获取密码。 如果提供者pipe理员说这是必要的,那是因为他们试图在公司赋予pipe理员权限(即不能访问基础根节点)的权限之外做一些事情。
总之,除非你有一个专用的盒子,否则不需要向客户索要vps或“虚拟”服务器的root密码。 只是说你不允许交互式的SSH,只有基于证书的访问…然后要求他们的公钥添加到PKI身份validation。 因为它们更容易通过根节点访问,所以它们很可能会这样做。
我不会让别人碰到我的root账号,尤其是ISP。 你如何validation另一端的键盘背后的人的完整性? 除非你和他们一起工作了一段时间,否则这是不行的。 只是我的.02。
您为托pipe或非托pipe服务付款的服务是?
如果pipe理 – 他们应该已经有他们需要的信息。
如果它是非托pipe的 – 他们没有业务login,特别是作为根。