Bagaimana cara membuat pengguna Linux tanpa kata sandi tetapi bisa mengaturnya?

8

Saya memiliki nama pengguna dan kunci SSH untuk seorang pria (hipotetis) dan saya perlu memberinya akses admin ke server Linux (Ubuntu).

Saya ingin dia dapat masuk melalui SSH dan kemudian mengatur kata sandinya sendiri melalui koneksi yang aman, alih-alih memberikan kata sandi.

Saya tahu cara membuat kata sandi kedaluwarsa dan memaksanya untuk mengatur ulang saat masuk pertama kali. Tapi ini tidak bekerja kecuali ia memiliki beberapa sandi sudah, yang kemudian saya harus memberitahu dia.

Saya berpikir untuk membuat kata sandi kosong - SSH tidak akan mengizinkan masuk, tetapi siapa pun dapat sumasuk ke pengguna.

Pertanyaan saya adalah, adakah praktik terbaik untuk membuat akun sedemikian rupa? Atau pengaturan kata sandi default tidak dapat dihindari?

Leonid Shevtsov
sumber

Jawaban:

7

Anda memiliki kunci publik SSH-nya? Masukkan ke dalam .ssh/authorized_keysdirektori rumahnya. Setelah Anda melakukannya (dan izinnya cukup ketat - SSH cerewet tentang hal itu.) Ia akan dapat masuk tanpa perlu kata sandi sama sekali ... dan ia tidak akan pernah memerlukannya.

Bagian terbaiknya adalah bahwa kunci publiknya tidak sensitif, sehingga menyebarkannya melalui email atau obrolan baik-baik saja, dan kunci pribadinya tidak pernah meninggalkan komputernya.

Ladadadada
sumber
1
Dia akan membutuhkan kata sandi sudo, bukan?
Leonid Shevtsov
1
Anda dapat mengizinkan sudo tanpa kata sandi.
MDMarra
1
Dengan baris seperti USERNAME = NOPASSWD: /usr/local/bin/pwreset.shdalam /etc/sudoersdan skrip pwreset.shmenjalankan perintah, /usr/bin/passwd USERNAMEia tidak akan memerlukan kata sandi untuk (kembali) mengatur kata sandi sendiri.
Ansgar Wiechers
0

Cukup letakkan file teks dengan kata sandi di dalam rumah yang dihuni pengguna dengan hak 600. Pengguna login dengan kunci mengubah kata sandi dan menghapus file. Dengan skript dengan suid bit set Anda bahkan dapat membuat sesuatu seperti passwd <textfile tanpa memberi pengguna hak untuk membaca file (haknya akan 060 dengan grup = root)

Erwin
sumber
-2

Pengaturan kata sandi default tidak dapat dihindari. Prosedur saya adalah:

1) menghasilkan kata sandi yang aman dan acak (berbeda untuk setiap pengguna). Saya menggunakan pembuat kata sandi dalam pengaturan akun OSX tetapi Anda dapat menggunakan situs web seperti http://strongpasswordgenerator.com

2) Masukkan kata sandi kepada mereka dengan aman, misalnya secara langsung atau melalui http://www.privnote.com

3) memaksakan reset pada login pertama karena Anda sudah tahu caranya

Oliver Kohll
sumber
Tidak pernah , di bawah tidak ada situasi, menggunakan setiap jenis password generator secara online (atau -checker dalam hal ini).
Ansgar Wiechers
@AnsgarWiechers, dapatkah Anda mendukung pernyataan itu dengan argumen yang bagus?
Zoredache
Terlalu banyak terlibat sehingga Anda tidak dapat mengendalikan. Sekalipun kode tersebut benar-benar menjalankan JavaScript di browser: apakah Anda melakukan peer-review script setiap kali sebelum menggunakannya untuk memastikan bahwa kode itu masih tidak mengirim kata sandi ke mana pun?
Ansgar Wiechers
Itulah sebabnya Anda mengatakannya untuk menghasilkan beberapa ratus kata sandi dan memilih satu secara acak.
Berikan
@Grant: Bahkan jika Anda memilih salah satu dari beberapa ratus password, penyerang masih akan turun ke beberapa ratus tebakan, yang jauh terlalu mudah untuk brute-force. Ada cukup banyak pilihan untuk menghasilkan kata sandi acak secara lokal tanpa melibatkan akses web apa pun. Jika Anda peduli dengan keamanan sama sekali: gunakan salah satunya.
Ansgar Wiechers