Назад | Перейти на главную страницу

Стратегия обеспечения экстренного доступа к бригаде колокации

Я устанавливаю сервер в новом центре размещения на другом конце света. Они установили мне ОС и прислали мне пароль root, так что, очевидно, им очень доверяют.

Однако я почти уверен, что не хочу, чтобы у них постоянно был мой пароль root. В любом случае, я намерен разрешить вход только на основе ключа.

Однако в некоторых случаях может быть полезно разрешить их технической поддержке войти в систему через физический терминал. Например, если я как-то испортил настройки файервола.

Что ж, очевидно, многое будет зависеть от специфики случая, но вы должны иметь в виду, что с физическим доступом к машине они в любом случае могут делать практически все, что захотят.

Обычное решение для этого - предоставить им специальную учетную запись для обслуживания с правами root через sudo. Затем вы можете дать им пароль, если хотите, чтобы они имели root-доступ. Если вы хотите отменить root-доступ, просто измените pw в учетной записи обслуживания. Кроме того, вы можете сохранить пароль и включить / отключить права root через конфигурацию sudo по мере необходимости.

В любом случае вы можете настроить SSH так, чтобы вход был разрешен только по ключу. Тогда учетная запись обслуживания + pw будет использоваться только для входа в систему на физической консоли (даже если она включена), что еще больше ограничит доступ к системе (если вы хотите).

Аналогичная настройка у нас и для некоторых внешних боксов. Мы храним пароль root в секрете и выдаем его только тогда, когда это необходимо, а когда закончили, мы его меняем. Мы не разрешаем вход в систему с правами root через ssh, поэтому пароль актуален только при наличии физического доступа.

Вам следует купить опцию доступа через IP-KVM. У вас будет доступ ко всему, включая однопользовательский режим и BIOS.