サーバーへの一時的なアクセスを許可する方法は？

サーバーを調整するためにリモートコンサルタントを雇いました。今、私は彼にrootパスワードを与え、サーバー上でやりたいことを何でもできるようにすることに自信がありません。理想的には、彼が私のサーバーに対して行っているすべてのことを（リアルタイムで）確認し、ルートパスワードを彼と共有しない方法も見つけたいと考えています。

リモートコンサルタントがサーバーにアクセスできるようにするベストプラクティスはありますか？

編集：明確にするために、コンサルタントと何らかのスクリーン共有を行いたいと思います。パスワードを取得せずにコマンドを自分のアカウントにトンネリングする方法はありますか？

PS：私のサーバーはUbuntu 9.10にあります

彼に通常のアカウントで接続させてから、SSHセッションを監視させることができます。私の意見では、画面ベースのソリューションが最適であり、「ペア」システム管理を行うことができます。たとえば、彼はsudoコマンドを入力でき、必要に応じてパスワードを入力できます。

PS screenを使用する場合、sudosh2または他のソリューションも使用すべきではないという意味ではありません。

彼にrootパスワードを付与する代わりに、sudoを使用します。

スーパーユーザーとしてリアルタイムで彼がしていることすべてを見たい場合は、sudosh2をチェックしてください。ドキュメントから：

sudoshは監査シェルフィルターであり、ログインシェルとして使用できます。Sudoshはすべてのキーストロークと出力を記録し、VCRのようにセッションを再生できます。

「すべてのキーストローク」には、バックスペースからのキーストローク、文字の削除、BASHの「単語の消去」などが含まれます。

sudoshはsyslogをサポートし、リモートsyslogサーバーにログを送信できます。これにより、ユーザーは監査ログのすべてのコピーを消去できなくなります。

元のプロジェクトsudosh（最初のバージョン）は作成者によって放棄されていることに注意してください。sudosh2は健在です。

それは本当にあなたが彼/彼女に与えたいアクセスのレベルに依存します。そもそも、リモートルートログインを有効にすることはありません。「通常の」アカウントのみにリモートアクセスを許可し、その人が必要とするものに対してsudoを構成する必要があります。

最初に、あなたが彼にしたいことの目的を明確に定義しておく必要があります。これらの目標を定義したら、それらの目標を達成するために必要なアクセスレベルを彼に付与できます。

修理工場で車を降ろし、「修理」するように言うようなものです。あなたが知っている次のことは、私が数千ドルの請求書を持っており、彼らが私がしたくないことや求めていないことをしました。

更新に応じて、別の異なる回答を追加します。

GNU画面を使用すると、画面を別のユーザーと共有できます。これは、彼がコマンドを入力できることを意味し、あなたは彼が入力したすべてを見ることができます。コマンドを入力すると、入力内容を見ることができます。パスワードの入力を求められたら、パスワードを入力できますが、パスワードの内容は画面に印刷されません（注：テキストは画面に印刷されませんが、他のユーザーがアクセスできるかどうかはわかりません他の方法でキーストロークにアクセスしたり、キーストロークバッファなどにアクセスしたりできます）。

詳細については、http：//www.debian-administration.org/article/Using_GNU_screen%27s_multiuser_feature_for_remote_supportをご覧ください

別の提案：事前にrootパスワードを一時パスワードに変更してください。彼がいなくなったら、ルートパスワードを元のパスワードに戻します。

サーバーへの公開キーアクセスのみを許可し、パスワードログインは許可しない場合、コンサルタントに与えたキーを削除することで、いつでもアクセス権を取り消すことができます。

Cristian Ciupituが示唆したように、GNUスクリーンはマシン上で必要な機能をすべて提供するはずです。さらに快適にしたい場合は、sudosh2が役立ちますが、シェルの履歴とスクリーンのハードコピーを使用すると、後でコマンドを再生できます。