Як надати тимчасовий доступ до сервера?

Я найняв віддаленого консультанта для налаштування моїх серверів. Тепер я не на 100% впевнений у тому, щоб дати йому корінний пароль і дозволити йому робити все, що він хоче зробити на серверах. В ідеалі я хочу побачити все, що він робить на моїх серверах (в режимі реального часу), а також знайти спосіб не ділитися з ним root-паролем.

Чи є найкращі практики дозволу віддаленому консультанту отримати доступ до вашого сервера?

EDIT: Щоб уточнити, я хочу зробити якусь подію екрану з консультантом. Чи існує якийсь метод, за допомогою якого його команди тунелюються через мій обліковий запис, не отримуючи жодного пароля?

PS: Мої сервери працюють на Ubuntu 9.10

Ви можете дозволити йому з'єднатися зі звичайним обліковим записом, а потім стежити за його сеансом SSH . Екранне рішення є найкращим, на мою думку, і дозволить вам «парувати» системне адміністрування. Наприклад, він може ввести команди sudo, і ви введете пароль у разі необхідності.

PS Якщо ви використовуєте екран, це не означає, що ви також не повинні використовувати sudosh2 або інші рішення.

Замість надання йому кореневого пароля використовуйте sudo.

Якщо ви хочете побачити все, що він робить в режимі реального часу, як суперрусера , перегляньте sudosh2 . З документів:

sudosh є ревізійним фільтром оболонки і може використовуватися як оболонка для входу. Sudosh записує всі натискання клавіш і вихід і може відтворювати сеанс так само, як і відеомагнітофон.

"Усі натискання клавіш" включають натискання клавіш із зворотних просторів, видалення символів, стирання слова "BASH" тощо. Ви можете спостерігати за неприємними помилками та виправленнями когось тощо.

sudosh буде підтримувати syslog, і ви можете надіслати журнали до віддаленого сервера syslog. Це забезпечило б, щоб користувач не міг стерти всі копії журналів аудиту.

Зауважте, що оригінальний проект sudosh (перша версія) відмовився його автором. sudosh2 живий і здоровий.

Це дійсно залежить від того, який рівень доступу ви хочете надати йому / їй. Я ніколи б не вмикав віддалені кореневі входи в першу чергу. Тільки "звичайні" акаунти повинні мати віддалений доступ, а потім налаштувати sudo на все, що потрібно цій людині.

По-перше, у вас повинні бути чітко визначені цілі того, що ви хочете, щоб він робив. Після того, як ці цілі визначені, ви можете надати йому рівень доступу, необхідний для досягнення цих цілей.

Це як упустити мою машину в ремонтну майстерню і сказати їм «виправити». Наступне, що ви знаєте, у мене є рахунок на тисячі доларів, і вони зробили те, чого я не хотів робити і не просив.

Я додаю ще одну, іншу відповідь у відповідь на ваше оновлення.

Використовуючи екран GNU, ви можете поділитися екраном з іншим користувачем. Це означає, що він може вводити команди, і ви бачите все, що він набирає. Ви можете вводити команди, і він може бачити, що ви вводите. Коли йому буде запропоновано ввести пароль, ви можете ввести пароль, але вміст пароля не надрукується на екрані (Примітка. Хоча текст не друкується на екрані, я не впевнений, чи зможе інший користувач отримати доступ до ваших натискань клавіш іншим способом або мати доступ до буфера натискань клавіш тощо).

Більше інформації на http://www.debian-administration.org/article/Using_GNU_screen%27s_multiuser_feature_for_remote_support

Ще одна пропозиція: заздалегідь змініть кореневий пароль на тимчасовий пароль. Коли його немає, відновіть кореневий пароль до початкового.

Якщо ви дозволите доступ до відкритого ключа до вашого сервера, але не маєте входу пароля, ви можете відкликати право доступу в будь-який час, видаливши ключ, який ви надали консультанту.

Опинившись на машині, екран GNU повинен забезпечити всі необхідні функціональні можливості - як запропонував Крістіан Цюпіту. Якщо ви хочете додати додатковий комфорт, sudosh2 може допомогти вам, але ваша історія оболонок і копія екрана можуть допомогти вам відтворити команди згодом ...