У нас есть внешний инструмент мониторинга, который будет получать доступ к нашим Linux-машинам через SSH и считывать данные о top / ping / netstat / disk activity. Поскольку я создаю для этой цели отдельный ключ ssh и отдельного пользователя, мне интересно, могу ли я каким-либо образом ограничить этого пользователя или он должен быть пользователем с правами администратора.
Есть ли какой-либо детальный контроль того, что пользователь может запускать, а что нет? например scp, дамп нашей БД плох, прочитайте верхнюю статистику или пинг на другую машину в порядке ...
Хорошей практикой было бы создать пользователя, у которого почти нет привилегий, а затем настроить sudo. Учетная запись мониторинга может запускать команды, необходимые для проверки статуса, и ничего больше.
В моей настройке Nagios у меня есть базовый пользователь с именем nagios в сочетании с конфигурацией sudo, которая выглядит так.
### Nagios commands
nagios ALL=NOPASSWD: /etc/nagios_checks/*, /usr/lib/nagios/plugins/*