Я работаю в компании. В моей команде 15 человек. Все они пользуются одним сервером. Им управляет наша ИТ-команда. У всех нас один логин/пароль. Мы можем выполнять на нем операции sudo.
Поскольку люди используют screen/tmux и все входят в систему с помощью одних и тех же учетных данных, мы не можем отслеживать, что делают люди. Это может привести к тому, что люди удалят логи, другие данные людьми. Когда люди используют screen/tmux, они могут изменить .bash_history, чтобы осквернить место преступления.
Нам нужно решение, отвечающее следующим требованиям:
- Один из нас (лидер) будет иметь доступ к идентификатору/паролю пользователя. Остальные будут входить через токен. Чтобы остановить нежелательный
sudoдоступ. - Мы не хотим, чтобы в системе было несколько пользователей, поскольку ИТ-отдел не хочет иметь лишнюю головную боль.
- Мы хотим, чтобы программное обеспечение (вроде jumphost) работало при входе через ssh. Всякий раз, когда кто-то из нас 15 входит в систему с помощью учетных данных пользователя, он будет спрашивать teamuserid/teamuserpw. Я не знаю, возможно ли это с помощью идентифицируемых токенов.
- Это больше похоже на предоставление каждому, кто входит в
screenсистему, экземпляра с отдельными журналами sh/bash/zsh и т. д., которые может проверить лидер. - Пользователи должны иметь возможность читать и записывать только определенные файлы и каталоги.
Я понимаю, что мы ищем другую систему управления сеансами пользователей и входами, которую предоставляет Linux. Но из-за некоторых ограничений мы хотим запустить нечто подобное внутри пользователя.