最近我们聘请了一位外部程序员为我们开发一些新的后端系统。 他要求SSH访问我们的networking服务器。 我们已经和他一起工作了很多年了,我和他的同事一样信任他,所以我并不担心他打破任何目的。 但是应该给他什么权限呢? 假设他需要很多权限,允许外部承包商与您的服务器协同工作是一个很好的策略。 理想情况下,我想给他一个根除了改变其他人的密码,但不知道这是甚至可能的权力。
好的策略总是只给需要的权限,但这可能是很多pipe理开销。 探索sudoers文件(/ etc / sudoers)开始,你可以发布具体的问题,你想授予什么权限。
那么,既然你可以给他根的力量,你可以做的只是跟踪他所做的事而不是限制。 更改密码将是一个不太成问题的事情,因为毕竟,你会知道它很快。
你可以提供他与普通用户的访问,然后允许该用户使用sudo执行他需要的命令。 理想情况下,你不会允许他做其他用户的sudo操作,因为这样你就不会再看到他跟踪了。
另外,考虑将他的命令的日志发送到另一台服务器,所以他不能完全隐藏自己的轨道。
我已经为外部承包商设置了独立的chrooted环境,所以即使权限在某个地方是错误的,他们也不能进入我们的文件。 SSH有一个chroot选项,可以用于这些场合。 你甚至可以指定一个用户组来获得一个chrootlogin。
你的信任承包商的里程可能会有所不同,但我会把它放在安全的一面,并提供准确的需求,没有什么更多的。
首先给他正常的用户访问权限,并根据需要进行扩展。 Sudo将是这个工具的select。 它允许用自己的密码selectroot权限,并logging被调用的所有内容。