我有一个名为udpate的特殊用户,其shell是一个特殊命令,可以获取系统的任何挂起更新。
我希望能够在没有任何身份验证(密码或ppk或其他任何内容)的情况下与该用户打开ssh会话,因此如果有人想要更新系统,他们可以执行“ssh update @< >“,无需知道密码,或在包装盒上预先共享公钥。
不安全,我知道,但这是通过VPN,因此它不应该是一个问题,他们只会运行更新,然后被抛弃。
可以这样做吗?
答案 0 :(得分:0)
使用ssh时,VPN不是避免身份验证的好理由。即使有办法做到这一点,你也不应该使用它。使用ssh-key是最好的方法。如果您真的想做这样的事情,请使用相同的密钥并将其分发到每个框中。
如果您的盒子的本地网络遭到入侵,您做了什么?你只是有一个安全漏洞。
答案 1 :(得分:0)
正如此rfc指出的那样,支持基于主机的身份验证https://www.ietf.org/rfc/rfc4252.txt
这可能不是最终的解决方案,而是帮助找到一个。
但实际上,您不应该为此用例执行此操作...只需提供一个基本的Web端点,它只会在下一个cron运行时启动更新过程。我知道,它不是那么简单"但它更安全。
或者,无论如何他们都可以访问此服务器,添加一个超级用户位设置的脚本来触发更新。
此外,如果您的公司中有一个中央服务器,每个人都可以访问,您可以使用它作为主持密钥对之间的步骤,因此您不需要为每个人管理X密钥。
或者您使用木偶或任何东西的更现代的设置,或者您只是将服务器配置为始终更新而无需用户交互....