এসএসএইচ লগিং ক্ষমতাগুলি বেসরকারী / সর্বজনীন কী প্রমাণীকরণের জন্য সু লগিংয়ের সমতুল্য?

এখানে কর্মক্ষেত্রে, ইউনিক্সে আমাদের একটি অ-রুট শেয়ারড লগইন অ্যাকাউন্ট রয়েছে যা একটি নির্দিষ্ট অ্যাপ্লিকেশন প্রশাসনের জন্য ব্যবহৃত হয়। নীতিটি ভাগ করা অ্যাকাউন্টে সরাসরি লগইনগুলিকে অনুমতি না দেওয়ার জন্য; আপনাকে অবশ্যই নিজের হিসাবে লগইন করতে হবে এবং ভাগ করা অ্যাকাউন্টে পরিবর্তনের জন্য "su" কমান্ডটি ব্যবহার করতে হবে। এটি লগিং / সুরক্ষার প্রয়োজনে।

দিনের মধ্যে একবার আমাকে আমার পাসওয়ার্ড প্রবেশ করানোর অনুমতি দিতে এবং এজেন্টের ফরোয়ার্ডিংটিকে পাসওয়ার্ডটি বাদ দেওয়ার জন্য দিনটির বাকি সমস্ত দিনের জন্য এসএসএইচ পাবলিক / প্রাইভেট কী প্রমাণীকরণ ব্যবহার শুরু করেছি। এটা সত্যিই চমৎকার.

তবে কিছু সিস্টেম লক হয়ে গেছে তাই ভাগ করে নেওয়া অ্যাকাউন্টে পেতে আমাকে সত্যই "su" কমান্ডটি ব্যবহার করতে হবে। ARG! সব সময় পাসওয়ার্ড লিখতে ফিরে!

এসএসএইচ পাবলিক / প্রাইভেট কী প্রমাণীকরণের সাথে লগইন করার মতো পর্যাপ্ত তথ্য কি এখানে পাবলিক / প্রাইভেট কী ব্যবহার করা হলে একটি ভাগ করা অ্যাকাউন্টে রিমোট লগইনগুলিকে অনুমতি দেওয়ার জন্য নীতি পরিবর্তনের জন্য অনুরোধ করার যুক্তিসঙ্গত সুযোগ আমার থাকতে পারে?

আমার কাছে / var / লগ / নিরাপদে প্রশাসকের চেহারা ছিল এবং এটি কেবলমাত্র বলে যে একটি নির্দিষ্ট আইপি ঠিকানা থেকে কোনও ব্যবহারকারী অ্যাকাউন্টের জন্য একটি পাবলিক কী গ্রহণ করা হয়েছিল। এটি বলা হয়নি যে এটি কে সর্বজনীন কী, বা প্রাইভেট কীটি প্রমাণীকরণ করেছে।

sshd_configফাইলের মাধ্যমে লগিংয়ের অনেক স্তর রয়েছে । দেখুন man পৃষ্ঠা এবং জন্য চেহারা LogLevel। ডিফল্ট স্তরটি INFOকিন্তু এটি স্তর VERBOSEবা এমনকি কোনও একটি DEBUG#স্তরকে টুকরো টুকরো টুকরো টুকরো করা সহজ ।

অতিরিক্ত হিসাবে, আপনার sudoবিকল্প হিসাবে অন্বেষণ করা উচিত su। এর সুবিধাগুলির একটি সম্পূর্ণ আলোচনা sudoএটি একটি নিজস্ব প্রশ্ন। তবে আমি বলতে পারি যে sudoআপনি প্রায়শই আপনার পাসওয়ার্ড লিখতে হবে যা কোন কমান্ড চালিত হতে পারে ইত্যাদি sudoers কনফিগারেশন ফাইলের মাধ্যমে সমস্ত নিয়ন্ত্রণযোগ্য tail

অন্য উপায়টি হ'ল authorized_keysব্যবহারকারীর সুযোগের বাইরে চলে যাওয়া (উদাহরণস্বরূপ /etc/ssh/authorized_keys) যাতে কেবলমাত্র সিসাদমিনরা নিয়ন্ত্রণ করতে পারে যে কোন পাবলিক কীগুলি প্রদত্ত অ্যাকাউন্টগুলিতে লগ করতে ব্যবহার করা যেতে পারে।

আমরা নীচের মতো কিছুতে AuthorizedKeysFileনির্দেশকে পরিবর্তন করতাম sshd_config।

AuthorizedKeysFile /etc/ssh/authorized_keys/%u

তারপরে /etc/ssh/authorized_keysলগইন করতে সক্ষম হবেন বলে মনে করা প্রতিটি ব্যবহারকারীর জন্য ফাইলগুলি সহ ডিরেক্টরি তৈরি এবং পপুলেট করুন , নিশ্চিত rootকরুন যে উপযুক্ত ফাইলটি কেবল উপযুক্ত ব্যবহারকারী দ্বারা পাঠযোগ্য / রাইটযোগ্য এবং অন্যান্য ফাইলের পাঠযোগ্য, যেমন:

-rw-------  1 root root    1,7K 2008-05-14 14:38 root
-rw-r-----  1 root john     224 2008-11-18 13:15 john

প্রতিটি ফাইলের মধ্যে সর্বজনীন কীগুলির একটি সেট থাকে যা প্রদত্ত অ্যাকাউন্টে লগ ইন করার অনুমতি পাবে। এটি প্রতিটি ব্যবহারকারীর অ্যাকাউন্টের জন্য একটি স্বতন্ত্র গ্রুপ হিসাবেও প্রচলিত।

দূরবর্তী ব্যবহারকারীর অ্যাক্সেস নিয়ন্ত্রণের জন্য সরকারী / ব্যক্তিগত কীগুলি ব্যবহার করা একটি উপায় উন্নততর পদ্ধতি। আপনাকে প্রতি মাসে পাসওয়ার্ড পরিবর্তন করতে হবে না (আপনাকে এটি সেট করতে হবে না), এবং কোনও কর্মচারী আপনার সংস্থা ছেড়ে চলে যাওয়ার কারণে কেবল তাদের পাবলিক কী সরিয়ে ফেলবে না এবং এটি পরিবর্তন করতে হবে না; এবং অবশ্যই এসএসএইচ বিকল্পগুলির সাথে ( http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&sektion=8#SSHRC) আপনি কী এবং কোথা থেকে কোনও প্রদত্ত ব্যবহারকারীর অ্যাক্সেস থাকতে পারে তা সূক্ষ্ম-শস্য করতে পারেন।

এসএসএইচ পাবলিক / প্রাইভেট কী প্রমাণীকরণ হোস্ট প্রমাণীকরণ থেকে পৃথক। আপনি এখানে ভাগ্যের বাইরে। আপনি অনুরোধ করতে পারেন যদিও নির্দিষ্ট গোষ্ঠীর সদস্যদের sudoপাসওয়ার্ড ছাড়াই কিছু নির্দিষ্ট প্রশাসনিক কমান্ড চালানোর অনুমতি দেওয়া হয় - উদাহরণস্বরূপ বেলো secretariesগ্রুপের ব্যবহারকারীদের অ্যাকাউন্ট পরিচালনা করার অনুমতি দেয় :

# file: /etc/sudoers
...
%secretaries    ALL= NOPASSWD: /usr/bin/adduser, /usr/bin/rmuser   
...