(架空の)男のユーザー名とSSHキーを持っているので、彼にLinux(Ubuntu)サーバーへの管理者アクセス権を与える必要があります。
私は彼がSSH経由でログインして、安全な接続を介して自分でパスワードを設定できるようにして、パスワードを渡さなくてもよいようにしたいと思っています。
パスワードの有効期限を設定し、最初のログイン時にパスワードを強制的にリセットする方法を知っています。しかし、これは彼がいくつかのパスワードを既に持っている場合を除いて機能しません。
パスワードを空白にすることを考えました-SSHはログインを許可しませんが、誰でもsuユーザーに侵入することができます。
私の質問は、そのような方法でアカウントを作成するためのいくつかのベストプラクティスはありますか?または、デフォルトのパスワードの設定は避けられませんか?
回答:
あなたは彼のSSH公開鍵を持っていますか?それを.ssh/authorized_keys彼のホームディレクトリに置いてください。あなたがそれをしたら(そして許可は十分に制限的です-SSHはそれについてうるさいです。)彼はパスワードを全く必要とせずにログインすることができます...そして彼は決して必要としないでしょう。
最良の部分は、彼の公開鍵は機密性が高くないため、電子メールやチャットでそれを渡すことは問題なく、彼の秘密鍵は彼のコンピュータを離れることはありません。
USERNAME = NOPASSWD: /usr/local/bin/pwreset.shinのような行/etc/sudoersとpwreset.shコマンド/usr/bin/passwd USERNAMEを実行するスクリプトを使用すると、自分のパスワードを(再)設定するためのパスワードは必要ありません。
デフォルトのパスワードの設定は避けられません。私の手順は:
1)安全でランダムなパスワードを生成します(ユーザーごとに異なります)。私はOSXのアカウント設定でパスワードジェネレーターを使用していますが、http://strongpasswordgenerator.comなどのWebサイトを使用できます
2)直接またはhttp://www.privnote.comなどを介して、パスワードを安全に提供します。
3)方法を既に知っているので、最初のログイン時に強制的にリセットする
sudoでしょう?