在我们的团队中,我们有三个经验丰富的 Linux系统管理员必须管理几十个Debian服务器.以前我们都使用SSH公钥认证以root身份工作.但我们讨论了该场景的最佳实践,并且无法就任何事情达成一致.

每个人的SSH公钥都放在~root / .ssh / authorized_keys2中

>优点：易于使用,SSH代理转发工作轻松,开销小
>缺点：缺少审计(你永远不知道哪个“根”做了改变),事故发生的可能性更大

使用个性化帐户和sudo

这样我们就可以使用SSH公钥登录个性化帐户,并使用sudo以root权限执行单个任务.此外,我们可以给自己“adm”组,允许我们查看日志文件.

>优势：良好的审计,sudo阻止我们太容易做愚蠢的事情
>缺点：SSH代理转发中断,这很麻烦,因为几乎没有任何东西可以作为非root用户完成

使用多个UID 0用户

这是一个系统管理员提出的非常独特的建议.他建议在/ etc / passwd中创建三个用户,所有用户都有UID 0但登录名不同.他声称这实际上并未被禁止,并且允许每个人都是UID 0,但仍然能够进行审核.

>优势：SSH代理转发工作,审计可能工作(未经测试),没有sudo麻烦
>缺点：感觉非常脏 – 无法在任何地方找到它作为允许的方式记录

你会建议什么？