控制台

Question

我必须为第三方系统管理员提供根访问权限，以便在我的Linux服务器上完成一些工作，但我不希望给他们完全的根访问权限。

我想的是，我可以创建一个PHP脚本，它可以通过SSH登录，因此不需要向sysadmin提供根密码。通过这种方式，我也可以轻松地记录他们所做的一切，以确保他们不会给自己一个后门，安装一些恶意的东西，或者试图从数据库中访问客户信息。

所以我的问题是：

你认为我关心这件事明智吗？还是有另一种标准的方法来处理这个问题？(或者根本没有问题？)

我理解PHP支持SSH功能。任何已经存在于我所想要的开源实现？还有什么需要我考虑的吗？

Answer 1

这正是sudo的作用所在。你不必给他根密码。相反，你给他自由的sudo权限来做他需要做的事情，这记录了他所有的活动。

Answer 2

如果使用php脚本或sudo (我更喜欢第二种解决方案)，恶意sysadmin具有等同于root的权限，因此他也可以修改sudo命令的日志。为了解决这个问题，可以配置linux框将所有日志发送到远程日志服务器。

Answer 3

我建议采用以下设置：

• 创建一个普通用户，允许您的sysadmin通过ssh登录。
• 安装屏幕apt-get install screen
• 创建一个多用户屏幕会话
• 在会话中，使用sudo su将当前用户更改为根用户
• 关闭你的写卡，让你的系统管理员完成他的工作。

这样，你就可以看到他在做什么，但不能控制它。一般情况下，您可以在任何屏幕共享应用程序中实现同样的功能。这可能是使用sysadmin建立信任的第一步。同时，你应该打个电话让他解释他在做什么。