Sunuculara anahtarlar üzerinden erişme fikrini seviyorum, böylece şifreyi her ssh
kutuya yazmam gerekmiyor, hatta kullanıcı root
şifremi ( passwd -l username
) şifresini bile kilitlemiyorum, bu yüzden anahtarsız giriş yapmak imkansız .
Ancak sudo
komutlar için parola girmem gerekirse, tüm bu sonlar . Bu yüzden bir şeyleri şifresiz giriş ile uyumlu hale getirmek için şifresizsudo
kurmaya cazip davranıyorum .
Ancak, beklenmedik bir şekilde bana geri tepebileceği hissine kapılmaya devam ediyorum, bir şekilde güvensiz görünüyor. Bu tür kurulum ile herhangi bir uyarı var mı? Bunu, sunucudaki bir kullanıcı hesabı için yapmanızı tavsiye eder misiniz?
Açıklamalar
sudo
Burada, etkileşimli bir kullanıcı oturumunda, hizmetler veya yönetimsel komut dosyaları için değil , kullanımı hakkında konuşuyorum- Bulut sunucusu kullanmaktan bahsediyorum (yani bir makineye fiziksel yerel erişimim yok ve yalnızca uzaktan oturum açabiliyorum)
- Bunun
sudo
zaman aşımına uğradığını ve şifremi tekrar girmeme gerek olmadığını biliyorum. Ama benim konserim fiziksel olarak bir parola yazmak için fazladan zaman kaybetmekle ilgili değil. Benim fikrim, sanırım bir şifre ile uğraşmak zorunda değildi, çünkü şunu düşünüyorum:- Eğer onu ezberlemek zorunda kalırsam, güvende olmak ya da yeniden kullanmak çok olası değil
- Uzak hesabım için uzun ve benzersiz bir şifre oluşturursam, bir yerde saklamak zorunda kalacağım (yerel şifre yöneticisi programı veya bulut servisi) ve kullanmak istediğimde onu almam gerekecek
sudo
. Bundan kaçınabileceğimi umuyordum.
Bu yüzden bu soru ile olası bir konfigürasyonun risklerini, uyarılarını ve travmalarını diğerlerine göre daha iyi anlamak istedim.
Takip 1
Tüm cevaplar sudo
, kişisel kullanıcı hesabımın tehlikeye girmesi durumunda ayrıcalıkların "kolay" bir şekilde artırılmasına izin verdiği için şifresizce güvensiz olduğunu söylüyor . Onu anlıyorum. Fakat diğer yandan, eğer bir şifre kullanırsam, bütün klasik riskleri şifrelerle (çok kısa veya ortak bir dizi, farklı servislerde tekrarlanan vs.) maruz bırakırız. Ancak sanırım eğer /etc/ssh/sshd_config
giriş yapmak için bir anahtara sahip olmanız gerekecek şekilde şifre doğrulamasını devre dışı bırakırsam , daha kolay yazabilmeniz için daha basit bir şifre kullanabilir miyim sudo
? Bu geçerli bir strateji mi?
Takip 2
Ayrıca root
ssh ile giriş yapmak için bir anahtarım varsa, birisi bilgisayarıma erişip anahtarlarımı çalıyorsa (hala işletim sisteminin anahtarlık şifresi ile korunuyorlar!), root
Hesaba doğrudan erişebilirler , sudo
yolu atlayarak . O zaman root
hesaba erişmek için politika ne olmalıdır ?
/etc/passwd
nologin gibi sahte bir kabuk ayarlayın , şifre belirtmeyin ve daha sonra visudo'da şifresiz olarak ayarlayın. Bunu yaparsanız, visudo ayarının sadece bu sistem hesabının tam olarak ihtiyaç duyduğu şey için de yapıldığından emin olmalısınız, yani çalıştırması gereken tek komutlara kilitleyin.