如何授予对服务器的临时访问权限？

Question

我聘请了一位远程顾问来调整我的服务器。现在，我不是 100% 有信心给他 root 密码并允许他在服务器上做他想做的任何事情。理想情况下，我希望看到他对我的服务器所做的一切（实时），并找到一种不与他共享 root 密码的方法。

是否有允许远程顾问访问您的服务器的最佳实践？

编辑：澄清一下，我想与顾问进行某种屏幕共享。有没有什么方法可以让他的命令通过我的帐户通过隧道传输，而他从来没有得到任何密码？

PS：我的服务器在 Ubuntu 9.10 上

Answer 1

不要授予他 root 密码，而是使用 sudo。

如果您想实时查看他作为超级用户所做的一切，请查看sudosh2。从文档：

sudosh 是一个审计外壳过滤器，可以用作登录外壳。Sudosh 记录所有击键和输出，并且可以像 VCR 一样回放会话。

“所有击键”包括退格、删除字符、BASH的‘擦除单词’等击键，可以看某人尴尬的错别字和更正等。

sudosh 将支持系统日志，您可以将日志发送到远程系统日志服务器。这将确保用户无法擦除审计日志的所有副本。

请注意，原始项目sudosh（第一个版本）已被其作者放弃。sudosh2 还活着。

Answer 2

您可以让他使用普通帐户连接，然后监视他的 SSH 会话。在我看来，基于屏幕的解决方案是最好的，可以让您进行“配对”系统管理。例如，他可以输入 sudo 命令，而您可以输入密码以备不时之需。

PS 如果您使用 screen 并不意味着您不应该也使用sudosh2或其他解决方案。