친구와 나는 각각 전체 시스템 내의 특정 작업을 전담하는 상당한 수의 가상 머신을 관리하고 있습니다. 컴퓨터에 로그인하는 유일한 시간은 관리 작업을 수행해야 할 때뿐이기 때문에 일반적으로 컴퓨터를 관리해야 할 때 루트로 로그인합니다. 우리가 실행하는 모든 명령은 일반적으로 sudo 명령이기 때문에 sudo를 사용하지 않습니다.
우리는 별도의 .bash_history를 제공하고 다른 컴퓨터가 마지막으로 로그인한 시간 등을 확인하기 위해 이러한 컴퓨터에서 계정을 별도로 유지하려고 합니다. 이를 위해서는 전체 루트 권한을 가진 두 개의 계정이 필요합니다.
한 가지 방법은 일반 사용자 계정을 UID=0 GID=0으로 변경하는 것입니다. 즉, 루트와 동일하지만 이 질문에서 이 솔루션을 사용하지 않는 것이 좋습니다.사용자에게 UID=0 GID=0을 제공하여 사용자에게 루트 권한을 부여하는 데 문제가 있습니까?
[이 질문은 지금까지와 동일합니다.]
이 문제에 대한 답은 sudo를 사용하는 것이지만 앞서 언급했듯이 sudo는 우리 사용 사례에서는 매우 불편합니다. 이러한 VM에서 실행되는 거의 모든 명령은 sudo 명령이므로( | sudo tee >\dev\null모든 출력 리디렉션에 대해 신경이 쓰입니다!) sudo는 별도의 기록을 갖는 것보다 덜 편리하며 다른 계정 로깅은 하나의 장점입니다.
그러면 내 후속 질문은 다음과 같습니다. sudo 외에 여러 사용자 계정이 루트 역할을 맡을 수 있는 안정적인 방법이 있습니까? 아니면 sudo를 더 편리하게 만드는 방법이 있습니까( sudo -i목적에 어긋나는 것 외에는 ).
답변1
sudo -s업데이트되지 않은 것을 사용하는 경우 $HOME쉘 기록이 자신의 계정에 저장됩니다.
vim( 루트 없이 수정할 수 있고 때로는 chown -R myusername "$HOME"문제를 해결하기 위해 이와 같은 작업을 실행해야 하는 "흥미로운" 상황을 생성하여 생성된 것과 같은 다른 구성/기록 파일을 염두에 두십시오).
답변2
이전 작업에서 이 문제를 처리한 방법은 다음과 같습니다.
첫째, 관리자가 대상 시스템에 대한 모든 루트 액세스 권한을 갖기 위해 로그인하는 보안 배스천 호스트가 있습니다. 호스트는 keymaster대상 호스트의 루트에 해당하는 개인 키를 보유하는 특수 계정으로 구성됩니다. (새 호스트를 자동으로 등록할 수 있는 시스템도 있습니다. 그러나 이는 이 기사의 범위를 벗어납니다.)
관리자는 사용자 수준 계정을 사용하여 이 배스천 호스트에 로그인한 다음 대상 시스템에 연결합니다.
요새 호스트 자체에 대한 루트 액세스 권한이 있는 소수를 제외하면 실제로 키에 직접 액세스할 수 있는 관리자는 없습니다. 대신 sudo 에서 실행되는 명령을 사용하여 연결합니다 connect( 루트가 아님). keymasterconnect 명령은 환경 변수를 REMOTE_ADMIN연결하는 사용자의 이름으로 설정하고 대상 시스템에 루트로 연결합니다.
그 다음에, 원격 시스템은 AcceptEnv=REMOTE_ADMINin 으로 설정 sshd_config되고 .bashrc 파일은 BASH_HISTORY으로 설정됩니다 ~/.bash_history-$REMOTE_ADMIN.
이 설정을 사용하면 서로 다른 .bash_history파일이 보안 기록이 아니지만 적어도 발생한 상황을 악의적이지 않게 검토할 수 있을 만큼 충분히 다릅니다. 보안 기록은 누가 언제 연결했는지 보여주는 요새 호스트에 있습니다. (우리는 명령에도 2FA를 사용합니다 sudo connect.)
또한 호스트를 손상시키는 것 외에 지정된 시스템 외부의 루트 액세스(악성이든 단지 "편의성"이든)에 대해 걱정할 필요가 없습니다. 키를 폐기할 수 있지만 누군가의 액세스 수준이 변경되었다고 해서 폐기할 필요는 없습니다.
.bash_history-$SUDO_USER실제로 달성하려는 목표에 따라 솔루션 전체 또는 일부를 사용하는 것만으로도 충분할 수 있습니다.