SSHログ機能は、秘密/公開キー認証のsuログと同等ですか？

ここでは、特定のアプリケーションを管理するために使用されるUNIXの非ルート共有ログインアカウントがあります。ポリシーは、共有アカウントへの直接ログインを許可しないことです。自分でログインし、「su」コマンドを使用して共有アカウントに切り替える必要があります。これは、ロギング/セキュリティを目的としています。

エージェントでSSH公開/秘密キー認証を使用し始めて、1日に1回パスワードを入力できるようにし、エージェント転送で1日の残りのパスワードプロンプトを削除できるようにしました。本当にいいです。

ただし、一部のシステムはロックダウンされているため、共有アカウントにアクセスするには「su」コマンドを使用する必要があります。あら！いつものパスワード入力に戻りましょう！

公開/秘密キーが使用されている場合、共有アカウントへのリモートログインを許可するためのポリシーの変更を要求する合理的なチャンスがあるように、SSH公開/秘密キー認証で記録された十分な情報がありますか？

/ var / log / secureで管理者に見てもらいましたが、特定のIPアドレスからのユーザーアカウントの公開キーが受け入れられたとだけ言っています。誰が公開鍵であるか、誰が秘密鍵で認証したかはわかりませんでした。

sshd_configファイルを介して利用可能なロギングの多くのレベルがあります。マニュアルページを参照してくださいLogLevel。デフォルトのレベルはそうですINFOが、それをレベルのVERBOSE1つまで上げることは簡単DEBUG#です。

さらに、sudoの代替として探索する必要がありますsu。の利点の完全な議論は、sudoそれ自体の問題です。としかし、私はそれを言うことができsudo、あなたがなどのコマンドを実行することができるあなたのパスワード、、、を介してすべての制御入力する必要がどのくらいの頻度調整できsudoersのファイルをConfig]を。

別の方法は、特定のアカウントへのログ記録に使用できる公開キーをシステム管理者のみが制御できるようauthorized_keysに、ユーザーのスコープ外に移動することです（例/etc/ssh/authorized_keys：）。

以前は、AuthorizedKeysFileディレクティブをsshd_config次のようなものに変更していました。

AuthorizedKeysFile /etc/ssh/authorized_keys/%u

次に/etc/ssh/authorized_keys、ログインできるはずの各ユーザーのファイルでディレクトリを作成し、データを読み込みrootます。ファイルが適切なユーザーによって読み取り可能なルートおよびその他のファイルに対してのみ読み取り/書き込み可能であることを確認します。

-rw-------  1 root root    1,7K 2008-05-14 14:38 root
-rw-r-----  1 root john     224 2008-11-18 13:15 john

各ファイルには、特定のアカウントへのログインを許可する公開キーのセットが含まれています。各ユーザーアカウントには、それぞれのグループもあります。

公開/秘密キーを使用することは、リモートユーザーアクセスを制御するためのより良い方法です。パスワードを毎月変更する必要はありません（設定する必要もありません）。また、従業員が会社を辞めただけでパスワードを変更する必要はありません。もちろん、SSHオプション（http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&sektion=8#SSHRC）を使用すると、特定のユーザーがアクセスできる場所と場所を細かく指定できます。

SSH公開/秘密キー認証は、ホスト認証とは別のものです。あなたはここで不運です。ただし、特定のグループのメンバーにsudoパスワードなしで特定の管理コマンドの実行を許可するように要求することができます。次の例のように、secretariesグループ内のユーザーがアカウントを管理できます。

# file: /etc/sudoers
...
%secretaries    ALL= NOPASSWD: /usr/bin/adduser, /usr/bin/rmuser   
...