จะให้สิทธิ์การเข้าถึงเซิร์ฟเวอร์ชั่วคราวได้อย่างไร

ฉันจ้างที่ปรึกษาระยะไกลเพื่อปรับแต่งเซิร์ฟเวอร์ของฉัน ตอนนี้ฉันไม่มั่นใจ 100% เกี่ยวกับการให้รหัสผ่านรูทให้เขาและอนุญาตให้เขาทำสิ่งที่เขาต้องการจะทำบนเซิร์ฟเวอร์ เป็นการดีที่ฉันต้องการเห็นทุกสิ่งที่เขาทำกับเซิร์ฟเวอร์ของฉัน (แบบเรียลไทม์) และหาวิธีที่จะไม่แบ่งปันรหัสผ่านรูทกับเขา

มีวิธีปฏิบัติที่ดีที่สุดในการอนุญาตให้ที่ปรึกษาระยะไกลเข้าถึงเซิร์ฟเวอร์ของคุณหรือไม่?

แก้ไข: เพื่อชี้แจงฉันต้องการแบ่งปันหน้าจอบางชนิดกับที่ปรึกษา มีวิธีใดบ้างที่คำสั่งของเขาถูกติดตามผ่านบัญชีของฉันโดยที่เขาไม่ได้รับรหัสผ่านเลย?

PS: เซิร์ฟเวอร์ของฉันอยู่บน Ubuntu 9.10

คุณสามารถปล่อยให้เขาเชื่อมต่อกับบัญชีปกติแล้วการตรวจสอบในเซสชั่ SSH ของเขา โซลูชันบนหน้าจอเป็นสิ่งที่ดีที่สุดในความคิดของฉันและจะช่วยให้คุณจัดการระบบ "คู่" ตัวอย่างเช่นเขาสามารถพิมพ์คำสั่ง sudo และคุณจะพิมพ์รหัสผ่านในกรณีที่จำเป็น

ป.ล. ถ้าคุณใช้หน้าจอไม่ได้หมายความว่าคุณไม่ควรใช้sudosh2หรือโซลูชันอื่น ๆ

แทนที่จะให้รหัสผ่านรูทแก่เขาให้ใช้ sudo

ถ้าคุณต้องการที่จะเห็นทุกอย่างที่เขาทำในเรียลไทม์เป็น superuser ตรวจสอบsudosh2 จากเอกสาร:

sudosh เป็นตัวกรองเชลล์การตรวจสอบและสามารถใช้เป็นเชลล์ล็อกอินได้ Sudosh บันทึกการกดแป้นและเอาท์พุททั้งหมดและสามารถเล่นเซสชั่นเช่นเดียวกับ VCR

"การกดแป้นทั้งหมด" รวมถึงการกดแป้นจากแบ็กสเปซ, ลบตัวอักษร, 'ลบคำ' ของ BASH ฯลฯ คุณสามารถรับชมการพิมพ์และการแก้ไขที่น่าอับอายของใครบางคน ฯลฯ

sudosh จะสนับสนุน syslog และคุณสามารถส่งบันทึกไปยัง syslog ระยะไกลได้ สิ่งนี้จะช่วยให้มั่นใจได้ว่าผู้ใช้ไม่สามารถลบสำเนาบันทึกการตรวจสอบทั้งหมดได้

โปรดทราบว่าsudoshโครงการต้นฉบับ(เวอร์ชั่นแรก) ถูกทอดทิ้งโดยผู้แต่ง sudosh2 มีชีวิตอยู่และดี

มันขึ้นอยู่กับระดับการเข้าถึงที่คุณต้องการให้เขา / เธอ ฉันจะไม่เปิดใช้งานการเข้าสู่ระบบรากระยะไกลในครั้งแรก บัญชี "ปกติ" เท่านั้นที่ควรมีการเข้าถึงระยะไกลจากนั้นกำหนดค่า sudo สำหรับทุกสิ่งที่บุคคลนั้นต้องการ

ก่อนอื่นคุณควรกำหนดวัตถุประสงค์ที่ชัดเจนสำหรับสิ่งที่คุณต้องการให้เขาทำ เมื่อกำหนดวัตถุประสงค์เหล่านั้นแล้วคุณสามารถให้ระดับการเข้าถึงที่จำเป็นแก่เขาเพื่อให้บรรลุวัตถุประสงค์เหล่านั้น

มันเหมือนการทิ้งรถของฉันที่ร้านซ่อมและบอกให้พวกเขา "แก้ไขมัน" สิ่งต่อไปที่คุณรู้ว่าฉันได้รับใบเรียกเก็บเงินหลายพันดอลลาร์และพวกเขาทำสิ่งที่ฉันไม่ต้องการและไม่ได้ขอ

ฉันกำลังเพิ่มอีกคำตอบที่แตกต่างกันในการตอบสนองต่อการปรับปรุงของคุณ

เมื่อใช้หน้าจอ GNU คุณสามารถแชร์หน้าจอกับผู้ใช้รายอื่นได้ ซึ่งหมายความว่าเขาสามารถพิมพ์คำสั่งและคุณเห็นทุกสิ่งที่เขาพิมพ์ คุณสามารถพิมพ์คำสั่งและเขาสามารถเห็นสิ่งที่คุณพิมพ์ เมื่อเขาถามรหัสผ่านคุณสามารถพิมพ์รหัสผ่านได้ แต่เนื้อหารหัสผ่านจะไม่ถูกพิมพ์ไปที่หน้าจอ (หมายเหตุ: แม้ว่าข้อความจะไม่ถูกพิมพ์ไปที่หน้าจอฉันไม่แน่ใจว่าผู้ใช้รายอื่นจะสามารถเข้าถึงได้หรือไม่ การกดแป้นพิมพ์ของคุณด้วยวิธีอื่นหรือเข้าถึงบัฟเฟอร์การกดแป้นพิมพ์ ฯลฯ )

ข้อมูลเพิ่มเติมได้ที่http://www.debian-administration.org/article/Using_GNU_screen%27s_multiuser_feature_for_remote_support

ข้อเสนอแนะอื่น: เปลี่ยนรหัสผ่านรูตเป็นรหัสผ่านชั่วคราวล่วงหน้า เมื่อเขาหายไปให้กู้คืนรหัสผ่านรูทเป็นรหัสผ่านดั้งเดิม

หากคุณอนุญาตให้ใช้การเข้าถึงกุญแจสาธารณะในเซิร์ฟเวอร์ของคุณเท่านั้น แต่ไม่มีการลงชื่อเข้าใช้ด้วยรหัสผ่านคุณสามารถเพิกถอนสิทธิ์การเข้าถึงได้ตลอดเวลาที่คุณต้องการโดยลบคีย์ที่คุณให้ไว้กับที่ปรึกษา

เมื่ออยู่บนเครื่องหน้าจอ GNU ควรมีฟังก์ชั่นที่ต้องการทั้งหมด - ดังที่ Cristian Ciupitu แนะนำ หากคุณต้องการเพิ่มความสะดวกสบายเป็นพิเศษ sudosh2 อาจช่วยคุณได้ แต่ประวัติเชลล์และหน้าจอ hardcopy ของคุณสามารถช่วยให้คุณเล่นคำสั่งได้ในภายหลัง ...