Saya memiliki nama pengguna dan kunci SSH untuk seorang pria (hipotetis) dan saya perlu memberinya akses admin ke server Linux (Ubuntu).
Saya ingin dia dapat masuk melalui SSH dan kemudian mengatur kata sandinya sendiri melalui koneksi yang aman, alih-alih memberikan kata sandi.
Saya tahu cara membuat kata sandi kedaluwarsa dan memaksanya untuk mengatur ulang saat masuk pertama kali. Tapi ini tidak bekerja kecuali ia memiliki beberapa sandi sudah, yang kemudian saya harus memberitahu dia.
Saya berpikir untuk membuat kata sandi kosong - SSH tidak akan mengizinkan masuk, tetapi siapa pun dapat su
masuk ke pengguna.
Pertanyaan saya adalah, adakah praktik terbaik untuk membuat akun sedemikian rupa? Atau pengaturan kata sandi default tidak dapat dihindari?
sudo
, bukan?USERNAME = NOPASSWD: /usr/local/bin/pwreset.sh
dalam/etc/sudoers
dan skrippwreset.sh
menjalankan perintah,/usr/bin/passwd USERNAME
ia tidak akan memerlukan kata sandi untuk (kembali) mengatur kata sandi sendiri.Cukup letakkan file teks dengan kata sandi di dalam rumah yang dihuni pengguna dengan hak 600. Pengguna login dengan kunci mengubah kata sandi dan menghapus file. Dengan skript dengan suid bit set Anda bahkan dapat membuat sesuatu seperti passwd <textfile tanpa memberi pengguna hak untuk membaca file (haknya akan 060 dengan grup = root)
sumber
Pengaturan kata sandi default tidak dapat dihindari. Prosedur saya adalah:
1) menghasilkan kata sandi yang aman dan acak (berbeda untuk setiap pengguna). Saya menggunakan pembuat kata sandi dalam pengaturan akun OSX tetapi Anda dapat menggunakan situs web seperti http://strongpasswordgenerator.com
2) Masukkan kata sandi kepada mereka dengan aman, misalnya secara langsung atau melalui http://www.privnote.com
3) memaksakan reset pada login pertama karena Anda sudah tahu caranya
sumber