tymczasowy dostęp ssh do wszystkich skrzynek pocztowych ec2


Chciałbym zaoferować wykonawcy dyżurującemu w weekendy dostęp do SSH z sudo w klastrze jednostek produkcyjnych ec2 (ubuntu). Chciałbym łatwo włączać/wyłączać dostęp do wszystkich skrzynek pocztowych za pomocą prostego skryptu lub narzędzia wiersza poleceń.
Nie chciałbym udostępniać plików PEM ani niczego podobnego. Jak zwykle robi się coś takiego w środowisku zawodowym?
2021-03-02 Dodaj komentarz
Udostępnij to

Nie znaleziono powiązanych wyników

    Zaproszony:
    Anonimowy użytkownik

    Anonimowy użytkownik

    Potwierdzenie od:

    Przepraszamy, że nie mam ubuntu, ale większość Linuksa już to ma, istnieje moduł PAM skonfigurowany z/etc/security/time.conf, poniższy wpis w time.conf pozwoli tylko 
             someguy
    dostęp weekendowy 
    login & ssh;*;someguy;Wk0000-2400
    2021-03-02 0 0
    Udostępnij to
    Anonimowy użytkownik

    Anonimowy użytkownik

    Potwierdzenie od:

    Można to zrobić na wiele różnych sposobów, w zależności od istniejącej infrastruktury, liczby zaangażowanych maszyn i czasu dostępnego na skonfigurowanie rozwiązania wielokrotnego użytku.
    • Masz scentralizowany serwer uwierzytelniania i autoryzacji, zwykle taki jak serwer LDAP/Kerberos FreeIPA http://www.freeipa.org... jest klientów http://packages.ubuntu.com/sea ... namesw tej chwili dla wersji 2.x i 3.x na Ubuntu. W takim przypadku wystarczy włączyć/wyłączyć (najlepiej nominalne) konto przed i po przedziale czasowym. Ponieważ serwer FreeIPA ma interfejs wiersza poleceń, to zadanie to tylko jedno polecenie. Inne zalety tego podejścia obejmują łatwe włączanie/wyłączanie niestandardowych HBAC i Sudorules, dzięki czemu to rozwiązanie można bezproblemowo stosować na dowolnej liczbie maszyn i można je całkowicie ponownie wykorzystać. W trakcie opracowywania są również moduły marionetkowe dla FreeIPA.
    • Nie masz scentralizowanego serwera tożsamości, ale masz jakieś zarządzanie konfiguracją, takie jak 
                     puppet
      https://puppetlabs.com... Będziesz musiał zmienić tylko jeden parametr w definicji użytkownika i zastosować zmiany. Ten typ rozwiązania ma związek ze sposobem promowania kodu za pomocą wybranego narzędzia do zarządzania konfiguracją.
    • Ty ich nie masz. Wciąż jest nadzieja. Narzędzia takie jak ansibl http://www.ansibleworks.com, po prostu nie wymaga oprogramowania na serwerach docelowych 
                   ssh
      dostęp. Tworzenie i usuwanie konta użytkownika można wykonać przy niewielkim wysiłku i tylko w jednej linii. jest moduł http://www.ansibleworks.com/do ... 3usertylko po to.
    • Nie chcesz zadzierać z żadnym z nich. Posługiwać się 
                     mussh
      http://sourceforge.net/projects/mussh/lub twój własny skrypt powłoki, aby wykonać zadanie.
    2021-03-02 0 0
    Udostępnij to
    Dlaczego jest złożony? 0 odpowiedzi zostało zwiniętych

    Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się

    Polityka prywatności: https://zweryfikowac.pl/Polityka-prywatnosci.pdf
    Copyright © 2023, All Rights Reserved