tymczasowy dostęp ssh do wszystkich skrzynek pocztowych ec2


Chciałbym zaoferować wykonawcy dyżurującemu w weekendy dostęp do SSH z sudo w klastrze jednostek produkcyjnych ec2 (ubuntu). Chciałbym łatwo włączać/wyłączać dostęp do wszystkich skrzynek pocztowych za pomocą prostego skryptu lub narzędzia wiersza poleceń.
Nie chciałbym udostępniać plików PEM ani niczego podobnego. Jak zwykle robi się coś takiego w środowisku zawodowym?
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Przepraszamy, że nie mam ubuntu, ale większość Linuksa już to ma, istnieje moduł PAM skonfigurowany z/etc/security/time.conf, poniższy wpis w time.conf pozwoli tylko
         someguy
dostęp weekendowy
login & ssh;*;someguy;Wk0000-2400
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Można to zrobić na wiele różnych sposobów, w zależności od istniejącej infrastruktury, liczby zaangażowanych maszyn i czasu dostępnego na skonfigurowanie rozwiązania wielokrotnego użytku.
  • Masz scentralizowany serwer uwierzytelniania i autoryzacji, zwykle taki jak serwer LDAP/Kerberos FreeIPA http://www.freeipa.org... jest klientów http://packages.ubuntu.com/sea ... namesw tej chwili dla wersji 2.x i 3.x na Ubuntu. W takim przypadku wystarczy włączyć/wyłączyć (najlepiej nominalne) konto przed i po przedziale czasowym. Ponieważ serwer FreeIPA ma interfejs wiersza poleceń, to zadanie to tylko jedno polecenie. Inne zalety tego podejścia obejmują łatwe włączanie/wyłączanie niestandardowych HBAC i Sudorules, dzięki czemu to rozwiązanie można bezproblemowo stosować na dowolnej liczbie maszyn i można je całkowicie ponownie wykorzystać. W trakcie opracowywania są również moduły marionetkowe dla FreeIPA.
  • Nie masz scentralizowanego serwera tożsamości, ale masz jakieś zarządzanie konfiguracją, takie jak
                   puppet             
    https://puppetlabs.com... Będziesz musiał zmienić tylko jeden parametr w definicji użytkownika i zastosować zmiany. Ten typ rozwiązania ma związek ze sposobem promowania kodu za pomocą wybranego narzędzia do zarządzania konfiguracją.
  • Ty ich nie masz. Wciąż jest nadzieja. Narzędzia takie jak ansibl http://www.ansibleworks.com, po prostu nie wymaga oprogramowania na serwerach docelowych
                 ssh           
    dostęp. Tworzenie i usuwanie konta użytkownika można wykonać przy niewielkim wysiłku i tylko w jednej linii. jest moduł http://www.ansibleworks.com/do ... 3usertylko po to.
  • Nie chcesz zadzierać z żadnym z nich. Posługiwać się
                   mussh             
    http://sourceforge.net/projects/mussh/lub twój własny skrypt powłoki, aby wykonać zadanie.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się