サポートのための一時的なSSHアクセスの許可

サポートのための一時的なSSHアクセスの許可

特定のソフトウェアの一部のユーザーサポートを提供する必要があります。メールでサポートを送受信するのは面倒な作業なので、ユーザーアカウントへの一時的なアクセス権を取得したいと思います。

Bobのサポートユーザーに電話してみましょう。次の手順は機能しますか?

  • 私の公開SSHキーをBobに電子メールで送信してください。id_rsa.pub
  • その後、Bobはバックアップを作成します。authorized_keys
  • authorized_keysBobは次のように私の公開SSHキーを追加しました。cat id_rsa.pub >> authorized_keys
  • Bobのパスワードを知らなくても、SSH経由でユーザーBobにログインします。
  • トラブルシューティングが完了してログアウトした後、Bobは以前の状態に戻り、authorized_keysSSHアクセスをキャンセルしました。

追加の質問:Bobは私がやっていることをどのように監視できますか?私にBobのユーザーアカウントへのアクセス権を付与するには、Bobの多くの信頼が必要であるため、透明性を確保するとこのアクションの受け入れが向上する可能性があります。


完全性を期すために自宅でプロセスをテストした方法は次のとおりです。

  • 私の公開SSHキーをBobに電子メールで送信しました。id_rsa.pub
  • ボブがscreen -x shared彼の言葉に付け加えた。.bashrc
  • Bobはスクリーンセッションを開始し、screen -d -m -S sharedそれに接続します。
  • その後、Bobはバックアップを作成します。authorized_keys
  • authorized_keysBobは次のように私の公開SSHキーを追加しました。cat id_rsa.pub >> authorized_keys
  • ご飯が私に去るように言った。
  • Bobのパスワードを知らず、SSH経由でBobユーザーとしてログインします。 Bobが自分がしていることを監視できるように、すでに実行されているスクリーンセッションに自動的に接続されます。
  • トラブルシューティングが完了してログアウトした後、Bobは以前の状態に戻り、authorized_keysSSHアクセスをキャンセルしました。
  • Bobはすべての画面セッションを閉じ、画面に追加した行を削除できるようになりました。.bashrc

ご飯のお願い:

  • SSHサーバーの実行
  • スクリーンをインストールする必要があります

どちらのツールもLinuxディストリビューションのパッケージリポジトリで利用できます。私とBobの間で直接コミュニケーションが行われるので、コメントで述べたTeamViewerアプローチよりもこのソリューションが優れていると思います。さらに、TeamViewerはオープンソースではありません。

答え1

プログラムは大丈夫です。 Bobはキーを編集したりバックアップを復元したりできます。~/.ssh/authorized_keys存在しない可能性も考えてみてください。

誰かがシェルで何をしているかを監視するにはscreen

  1. Bobがscreen -R.bashrcに追加されました
  2. ログインするとスクリーンセッションに入ります。 Bob は画面セッションで入力した内容をすべて表示できます。

(路面スクリーンコマンドを覚えているため、追加の設定やテストが必要になる場合があります。この記事を確認してください。http://wiki.networksecuritytoolkit.org/index.php/HowTo_Share_A_Terminal_Session_Using_Screen)

答え2

電子メールでBobの公開鍵を送信するには、「おそらく無視できる」信頼チェーンの問題があります。 攻撃者が偽装された電子メールを生成する可能性があるため、Bobは標準の電子メールであなたの身元を確認することはできません。。仮想トラフィックを生成したい大企業を特に標的とする攻撃者がいないと仮定するため、「おそらく無視できるだろう」と言います。簡単に言えば、より簡単な詐欺があります。ただし、お客様の契約には技術的な問題があります。

メッセージがドメインから送信されたことを確認するためにS / MIMEを使用して電子メールに署名した場合、または事前共有PGPを使用して署名した場合は問題ありません。

電子メールを処理する手間がかからない場合は、ウェブサイトに公開鍵をホストする必要があります。HTTPSこれにより、Bobは直接キーをダウンロードできます。 その後、BobにWebサイトから鍵をインポートして安全に保管するように指示します。

関連情報