Я владелец небольшой компании, в настоящее время управляю около 15 системами на базе Debian, предоставляю услуги VoIP и размещенных PBX.
Компания растет, у меня меньше времени управлять всеми этими машинами
Я бы хотел нанять системного администратора, но очень опасаюсь предоставить root-доступ незнакомцу.
Многое может пойти не так, он может ошибаться, он может установить бэкдоры. Дело не в сломанной системе. Неправильно управляемый сервер VoIP может привести к значительным потерям из-за мошенничества с инструментами, звонков по номерам премиум-класса и т. Д. Убытки могут исчисляться миллионами.
Я читал сообщения, в которых говорилось, что у меня должен быть уровень доверия, и если кто-то нанесет ущерб, я могу подать на него в суд. Но это не относится к SMB. В такой ситуации моя компания обанкротится до первого судебного заседания.
Перед отрицательным голосованием - эта проблема точно не нова и не уникальна, но я не нашел на serverfalut свежей информации, которая может быть применена к серверам Debian и зависит от программного обеспечения с затратами на лицензию, которые мой малый бизнес может себе позволить. Так что в настоящее время я не вижу повторяющейся темы.
Доступ без root, вероятно, не будет продуктивным, я не могу себе представить решение каких-либо серьезных системных проблем без root. Может я ошибаюсь?
Какие стратегии можно использовать в этой ситуации? Есть какое-нибудь программное обеспечение, которое могло бы помочь?
Если вы не можете доверять своим сотрудникам, ваша компания никогда не будет расти.
Чтобы ответить на ваш вопрос более прямо; вы можете предоставить пользователю доступ к повышенным привилегиям, не сообщая ему пароль для учетной записи пользователя root. Никто не должен использовать учетную запись пользователя root. Даже ты. То, что вы ищете, называется «sudo». Я уверен, что вы видели это раньше.
https://www.sudo.ws/intro.html
Шаг 1. Создайте для себя учетную запись администратора с привилегиями root, предоставив ей все полномочия sudo. Затем сгенерируйте новый пароль для учетной записи root с помощью диспетчера паролей. Теперь никто на Земле не знает этого пароля. Вытаскивайте его из диспетчера паролей только в экстренных случаях. Начните использовать свою новую учетную запись администратора сегодня.
(Теперь все действия, предпринятые с вашей учетной записью, отслеживаются вами. Никогда не делитесь логинами, потому что тогда вы не сможете определить, кто что сделал.)
Шаг 2. Создайте еще одну учетную запись администратора для тестирования. Используйте эту учетную запись, чтобы доказать свою способность предоставлять или запрещать доступ к различным объектам. Вы можете иметь ограниченный контроль над тем, какие функции sudo они могут выполнять, используя файл sudoers и ACL. Это может быть так сложно или просто, как вы хотите.
Шаг 3. Представьте себе рабочие роли. Разработайте свою систему так, чтобы вы могли предоставить доступ ко всем функциям каждой должности. Затем создайте тестовые учетные записи для каждой из этих ролей. Войдите в систему и докажите, что они могут выполнять свои обязанности. Докажите также, что они не могут делать то, чего вы не хотите.
Прочтите sudo и файл sudoers: https://wiki.debian.org/sudo
После того, как вы разобрались с пользовательской схемой, подумайте об использовании такой системы, как марионетка, для автоматической настройки ваших систем. Марионетка - это сложно. Если вы наймете кого-то, кто знает, как использовать марионетку, этот человек, вероятно, поймет администрирование Linux лучше, чем вы. Доверяйте этому человеку. Один хозяин марионеток может автоматически синхронизировать конфигурации всех ваших систем. Хорошо платите этому человеку, и он может быть единственным сотрудником, который вам нужен на долгое время.
https://puppet.com/products/puppet-enterprise
ПРИМЕЧАНИЕ. Рассмотрите возможность найма специалиста по кибербезопасности, который специализируется на Linux. Похоже, вам нужна помощь в защите ваших систем.