Come concedere l'accesso temporaneo al server?

Ho assunto un consulente remoto per ottimizzare i miei server. Ora, non sono sicuro al 100% di dargli la password di root e consentirgli di fare tutto ciò che vuole fare sui server. Idealmente, voglio vedere tutto ciò che sta facendo sui miei server (in tempo reale) e anche trovare un modo per non condividere la password di root con lui.

Esistono best practice per consentire a un consulente remoto di accedere al tuo server?

EDIT: Per chiarire, voglio fare una sorta di condivisione dello schermo con il consulente. Esiste un metodo attraverso il quale i suoi comandi vengono inseriti nel mio account senza che abbia mai ricevuto alcuna password?

PS: I miei server sono su Ubuntu 9.10

Puoi lasciarlo connettere con un account normale e quindi monitorare la sua sessione SSH . La soluzione basata su schermo è la migliore secondo me e ti permetterà di "accoppiare" l'amministrazione del sistema. Ad esempio, potrebbe digitare i comandi sudo e digitare la password nel caso fosse necessaria.

PS Se usi lo schermo non significa che non dovresti usare sudosh2 o altre soluzioni.

Invece di concedergli la password di root, usa sudo.

Se vuoi vedere tutto ciò che sta facendo in tempo reale come superutente, dai un'occhiata a sudosh2 . Dai documenti:

sudosh è un filtro della shell di controllo e può essere utilizzato come shell di accesso. Sudosh registra tutte le sequenze di tasti e l'output e può riprodurre la sessione come un videoregistratore.

"Tutti i tasti" include i tasti da backspaces, elimina i caratteri, la "parola di cancellazione" di BASH, ecc. Puoi guardare errori di battitura e correzioni imbarazzanti di qualcuno, ecc.

sudosh supporterà syslog e potresti inviare i log a un server remoto syslog. Ciò garantirebbe che l'utente non potesse cancellare tutte le copie dei registri di controllo.

Si noti che il progetto originale sudosh (la prima versione) è stato abbandonato dal suo autore. sudosh2 è vivo e vegeto.

Dipende davvero dal livello di accesso che desideri concedergli. Non abiliterei mai gli accessi root remoti in primo luogo. Solo gli account "normali" dovrebbero avere accesso remoto, quindi configurare sudo per tutto ciò di cui quella persona ha bisogno.

Innanzitutto, dovresti avere obiettivi chiaramente definiti per quello che vorresti che facesse. Una volta definiti tali obiettivi, è possibile concedergli il livello di accesso richiesto per raggiungere tali obiettivi.

È come lasciare l'auto in officina e dire loro di "sistemare". La prossima cosa che sai che ho un conto per migliaia di dollari e hanno fatto cose che non volevo e che non avevo chiesto.

Sto aggiungendo un'altra risposta diversa in risposta al tuo aggiornamento.

Usando la schermata GNU, puoi condividere una schermata con un altro utente. Ciò significa che può digitare i comandi e puoi vedere tutto ciò che digita. Puoi digitare i comandi e lui può vedere quello che scrivi. Quando viene richiesta una password, è possibile digitare la password, ma il contenuto della password non viene stampato sullo schermo (Nota: mentre il testo non viene stampato sullo schermo, non sono sicuro che l'altro utente sarebbe in grado di ottenere l'accesso ai tasti premuti in altro modo, o avere accesso al buffer dei tasti, ecc.).

Maggiori informazioni su http://www.debian-administration.org/article/Using_GNU_screen%27s_multiuser_feature_for_remote_support

Un altro suggerimento: cambiare prima la password di root in una password temporanea. Quando non c'è più, ripristina la password di root con la password originale.

Se si consente l'accesso della chiave pubblica al proprio server ma non si accede alla password, è possibile revocare l'accesso in qualsiasi momento, rimuovendo la chiave fornita al consulente.

Una volta sulla macchina, lo schermo GNU dovrebbe fornire tutte le funzionalità desiderate - come suggerito da Cristian Ciupitu. Se desideri aggiungere ulteriore comfort, sudosh2 potrebbe aiutarti, ma la cronologia delle tue shell e lo schermo cartaceo potrebbero aiutarti a riprodurre i comandi in seguito ...