La mejor manera de permitir el acceso de sudo cuando se usan las teclas ssh

8

Probablemente sea una pregunta simple, pero parece que no puedo encontrar las mejores prácticas reales que existen. Administro un puñado de servidores y realmente me estoy cansando de rastrear mis contraseñas en pwsafe. He estado considerando implementar el uso de claves SSH para la autenticación, en lugar de contraseñas, pero me preocupa la mejor manera de implementar los derechos de sudo para los usuarios en ese caso.

Sé que mucha gente modifica / etc / sudoers para tener y configurar a sus usuarios necesarios en NOPASSWD. Pero no veo ninguna mención de personas que les den a sus usuarios las contraseñas, así que me cuesta mucho hacerlo. ¿Qué pasa si mi casilla es propiedad de un usuario sin privilegios? Todo lo que tomaría es un "usuario su" rápido en mi usuario de NOPASSWD y, en teoría, habría terminado. O peor aún, acceso físico y alguien que conoce mi nombre de usuario.

¿Es una práctica recomendada seguir adelante y establecer una contraseña en esas cuentas, o se utilizan otros mecanismos como evitar el inicio de sesión local o las personas simplemente configuran una contraseña y la descartan / nunca la usan?

    
pregunta z0dSki 05.10.2013 - 19:55
fuente

2 respuestas

8

La opción NOPASSWD permite que el usuario sudo ejecute el programa sudo sin tener que ingresar una contraseña. No implica que su cuenta no tenga contraseña.

Otros usuarios que ejecutan su youruser todavía deben ingresar la contraseña para youruser . Pero si ha iniciado sesión como youruser (a través de acceso físico o mediante SSH), no tiene que ingresar una contraseña cuando ejecute sudo somecommand .

    
respondido por el Lekensteyn 05.10.2013 - 20:06
fuente
0

Como @Lekensteyn mencionó en su respuesta, la directiva NOPASSWD en el archivo /etc/sudoers simplemente elimina la necesidad de que el usuario ingrese su contraseña cuando ejecuta el comando sudo .

Esto tiene, literalmente, una correlación cero con respecto a si el usuario está guardando en el cuadro a través de contraseñas o claves ssh. De cualquier manera, si el usuario tiene acceso ssh en el cuadro, y le permite ejecutar los comandos todos o incluso solo de su a sudo en el archivo /etc/sudoers , puede escalar su privilegios para root simplemente ejecutando sudo su - .

La mejor práctica, por supuesto, es no permitir que ningún usuario antiguo ejecute ningún comando antiguo utilizando sudo . Cree una lista blanca de comandos que un usuario específico pueda ejecutar como root y no le permita acceder a nada más. Puede configurar fácilmente (aunque un poco tedioso) varios grupos de "administradores" con diferentes conjuntos de privilegios sudo y asignar dicho grupo a un usuario específico. Consulte man sudoers para obtener más información sobre configuraciones específicas.

    
respondido por el Ayrx 06.10.2013 - 07:49
fuente

Lea otras preguntas en las etiquetas