Привет, я хотел бы испытать некоторых администраторов dev ops/sysads/db но я не хочу давать им ключи от королевства, пока они не подтвердят свое мастерство.

Мне бы хотелось что-то анало- гичное для TeamViewer в том смысле, что я бы вручную разрешил определенный сеанс, и они не были бы пользователем системы. Я бы вводил пароли в командах sudo'd, где это необходимо.

В поисках этого я вижу много разговоров о tmux и screen, но, похоже, о существующих пользователях, которые хотят делиться сессиями по своему желанию. Я бы предпочел не создавать пользователей с низким доступом и очищать свои разрешения.

Мы работаем с Centos 6 .

Какие-либо предложения?

|источник

2 ответа2

1

Хорошо, если у вас установлен графический интерфейс, вы можете просто установить vncserver. Даже сам Teamviewer, вероятно, будет работать (да, есть версия для Linux).

Но с точки зрения безопасности: почему бы не создать нового пользователя (я имею в виду, что это одна команда, а не то, что это какая-то работа), а затем контролировать через файл sudoers то, что ему разрешено делать. Он даже регистрирует действия пользователей. Так что на случай, если пользователь что-то сломает, у вас есть хотя бы доказательства.

|источник
1

Короткий ответ

Нет.

Длинный ответ

Такой сеанс все еще должен быть привязан к пользователю с достаточными привилегиями, чтобы внести изменения, которые ваши кандидаты должны будут доказать, что они "квалифицированы".

Вы даже не должны хотеть , чтобы ненадежные аутсайдер сенсорных машин, даже если вы могли бы контролировать их в режиме реального времени , как они работали. Любой, кто не обращает внимания на их CVE. На момент написания этой статьи за последние 3 месяца было 13 уязвимостей ядра Linux. (Вы можете получить другое количество результатов, щелкнув по этой ссылке позже.) По большей части все, что вам нужно для их использования, - это иметь возможность запускать команды как обычный пользователь в системе с включенной уязвимой функцией.

Я полагаю, что если вам нужно проверить, может ли кто-нибудь выполнить работу системного администратора, то вы должны настроить виртуальную машину, предоставить потенциальному пользователю полные права root и позволить им потерять работу.

Если вы пытаетесь выяснить, могут ли они что-то исправить, настройте виртуальную машину в рабочем состоянии, сделайте снимок, намеренно повредите виртуальную машину, а затем установите другой снимок, прежде чем передать его им. Это позволит вам вернуться к поврежденному состоянию для следующего кандидата или вернуться к первоначальному состоянию, чтобы установить другую форму повреждения. Некоторые системы виртуальных машин позволяют вам создать "дерево" таких сценариев с разветвленными виртуальными машинами в разных точках от предыдущих копий.

Если вы пытаетесь выяснить, могут ли они настроить конкретную службу, установите чистую копию ОС либо со службой в ее состоянии по умолчанию, либо не установленной вообще. Затем, как и прежде, сделайте снимок, прежде чем предоставить потенциальному клиенту доступ к ВМ.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .