web-dev-qa-db-ja.com

コロケーションクルーへの緊急アクセスを許可する戦略

私は、世界中の新しいコロケーションセンターにサーバーを設置しています。彼らは私のためにOSをインストールし、rootパスワードを送ってくれたので、明らかに彼らには大きな信頼があります。

ただし、定期的にrootパスワードを教えてほしくないことは間違いありません。とにかく、私はキーベースのログインのみを許可するつもりです。

ただし、場合によっては、テクニカルサポートに物理端末からログインさせると便利な場合があります。たとえば、ファイアウォールの設定をどうにかして台無しにした場合です。

  • 私もそれについて心配する必要がありますか?
  • ワンタイムパスワードを使用する場合に変更されるsudoerアカウントを設定する必要がありますか?
  • このようなものを処理するための一般的な戦略はありますか?
linuxsecuritycolocation
3
itsadok

まあ、多くは明らかにケースの詳細に依存しますが、マシンに物理的にアクセスすることで、とにかく彼らが実際にやりたいことを何でもできることを覚えておく必要があります。

これに対する一般的な解決策は、Sudoを介してルート権限を持つ専用のメンテナンスアカウントを提供することです。次に、rootアクセスを許可するときにpwを与えることができます。ルートアクセスを奪いたい場合は、メンテナンスアカウントのpwを変更するだけです。または、パスワードを保持し、必要に応じてSudo構成を介してroot権限を有効/無効にすることができます。

いずれにせよ、キーベースのログインのみを許可するようにSSHを構成できます。その場合、メンテナンスアカウント+ pwは、物理コンソールでのログインにのみ使用可能になり(有効になっている場合でも)、システムへのアクセスがさらに制限されます(必要な場合)。

7
sleske

いくつかの外部ボックスについても同様の設定を行いました。 root-passwordは秘密にしておき、必要なときにのみ配布し、完了したら変更します。 sshを介したrootログインは許可されていないため、パスワードは物理的にアクセスできる場合にのみ関係します。

3
rkthkr

IP-KVM経由でアクセスするためのオプションを購入する必要があります。シングルユーザーモードやBIOSなど、すべてにアクセスできます。

2
minaev