Я работаю в компании, которая разрабатывает и размещает критически важную систему для малого бизнеса. У нас есть «эластичный облачный сервер» от профессионального хостинг-провайдера.
Я недавно получил от них электронное письмо, в котором говорилось, что у них возникли проблемы с их решением для резервного копирования и что им необходимо установить новое ядро. И они хотели, чтобы мы отправили им пароль root, чтобы они могли выполнять эту работу. Я знаю, что письмо пришло от них. Это не support@hotmail.com или что-то в этом роде.
Я позвонил им и спросил об этом, и они сказали: «Ага, для этого нам нужен пароль».
Просто кажется странным отправлять пароль root по электронной почте таким образом. Есть ли у меня причины для беспокойства?
Будьте осторожны, это необычный запрос. Предоставили ли они подробную информацию о том, что влечет за собой обновление ядра - содержит ли оно какие-либо модули от производителя? Отложив на мгновение элемент безопасности, может ли предлагаемое обновление вызвать проблемы с программным обеспечением, которое вы используете?
Я бы порекомендовал выяснить, что включает в себя обновление, и можно ли применить его самостоятельно. Если они не могут предоставить эту информацию, поднимите вопрос, чтобы выяснить, почему службе технической поддержки нужны привилегии root в вашей системе.
поработав у нескольких хостинг-провайдеров, могу сказать, что есть редкие случаи, когда от клиента требуется пароль root. обычно это происходит, когда у клиента есть выделенный ящик, и клиент изменил authorized_keys root, чтобы удалить доступ провайдера.
на VPS или «эластичном облачном сервере» провайдер может получить доступ к виртуальному хосту напрямую через гипервизор или базовый корневой узел, поэтому нет необходимости запрашивать пароль у клиента. если администратор провайдера говорит, что это необходимо, это потому, что они пытаются сделать что-то за пределами повышения привилегий, которое компания предоставила администратору (т. е. отсутствие доступа к базовому корневому узлу).
Короче говоря, если у вас нет выделенного бокса, нет необходимости запрашивать у клиента пароль root для vps или «виртуального» сервера. просто скажите, что вы не разрешаете интерактивный ssh, только доступ на основе сертификатов ... а затем запрашиваете их открытый ключ, чтобы добавить их в pki auth. поскольку им легче получить доступ через корневой узел, они, скорее всего, просто сделают это вместо этого.
Я вообще не позволю никому трогать мои корневые учетные записи, особенно интернет-провайдеру. Как вы проверяете целостность человека за клавиатурой на другом конце? Если вы не работали с ними какое-то время, это не годится. Только мой .02.
Является ли услуга, которую вы им платите, управляемой или неуправляемой?
Если это удалось - у них уже должна быть необходимая информация.
Если он неуправляемый - у них нет бизнеса для входа в систему, особенно с правами root.