是否可以设置特定的SSH-RSA密钥(通过另一个用户,即“ ec2-user”)以具有sudo到root的能力。
IE
使用“ Bob”(ec2用户)的密钥登录。当前,用户“ Bob”可以将sudo插入root。
“鲍勃”现在有两个键。一个可以将su su变成root,一个不能。
是的。pam_ssh_agent_auth
如果您的发行版提供了包,则可以使用包。它可以允许您执行基于pam模块的sudo,该模块检查ssh-agent中ssh密钥的拥有情况。
pam_ssh_agent_auth
从软件包管理器安装软件包修改/etc/sudoers
,最好使用visudo
和添加行
Defaults env_keep += "SSH_AUTH_SOCK"
编辑/etc/pam.d/sudo
并添加(作为之后的第二行#%PAM-1.0
)
auth sufficient pam_ssh_agent_auth.so file=/etc/security/authorized_keys
并注释掉行
#auth include system-auth
禁止对sudo命令进行正常的系统身份验证
创建“特权”密钥对,该密钥对应有权访问sudo
命令以及/etc/security/authorized_keys
服务器上的存储公共部分。
ssh-keygen -t rsa -b 2048
cat ~/.ssh/id_rsa > /etc/security/authorized_keys
在客户端上,打开ssh-agent并添加上述密钥:
评估$(ssh-agent)ssh-add〜/ .ssh / id_rsa
通过代理转发连接到服务器
ssh -K服务器
根据需要运行sudo
从我到目前为止的测试来看,这在Fedora / RHEL / CentOS系统上运行良好。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句