Rootovska prava bez hesla

<small>Z PVwiki</small>

..neboli navod, jak povolit uživateli rootovska prava bez toho, aby skutecny root musel prozradit heslo
(podobný postup jako vzdálené přihlášení klíčem, ale ten výhodnější - netřeba se hlásit na dvakrát)
POZOR: uživatel se potom přihlásí doopravdy jako root!!! A může tedy vše, vč. změny hesel a zamezení přístupu právoplatného roota

Co musi udelat


A/ root:


1. Vytvorit ucet pro uzivatele

[root@linux_machine root]# useradd uzivatel

2. nastavit mu pocatecni heslo

[root@linux_machine root]# passwd uzivatel


B/ uzivatel:

3. zmenit si heslo - je nutné zadat SILNÉ heslo (kombinace velkých a malých písmen, číslic a povolených znaků) - zadává se 2x

[uzivatel@linux_machine /]# passwd

4. vytvorit si ve svem adresari dvojici klíčů typu RSA (verejny a privatni) - případně DSA

[uzivatel@linux_machine ]# cd /home/uzivatel
[uzivatel@linux_machine ]# ssh-keygen -t rsa 

5. tim v adresari vznikne adresar /.ssh a v něm dva soubory (id_rsa.pub a id_rsa ) do stejného adresáře si stáhni (scp, WinSCP ) svůj doma vygenerovaný klíč uzivatel.pub ( z Putty nebo domácího Linuxu)

6. doplnit uzivatel.pub do authorized_keys

[uzivatel@linux_machine ]cat uzivatel.pub>>authorized_keys

Tímto je zajištěno to, že se uživatel může z externího stroje přihlásit použitím klíče a nemusí používat (nebo si pamatovat ) svoje heslo.


C/ root:

7. Do souboru /root/.ssh/authorized_keys nakopirovat vsechny autorizovane verejne klice vsech uzivatelu

[root@linux_machine]# cd /home/uzivatel/.ssh
[root@linux_machine]# cat ./id_rsa.pub >> /root/.ssh/authorized_keys


HOTOVO

Vyškolený správce uzivatel se ted muze prihlasit

ssh uzivatel@linuxmachine  

autorizuje se svym osobním heslem nebo domácím klíčem uzivatel.pub

Pokud je to třeba a potřebuje práva roota, doplní po přihlášení:

[uzivatel@linux_machine ]# ssh root@localhost  

a je autorizován lokálním klíčem a je nyní přihlášen s právy roota.

Zrušení přístupu k rootovským právům se děje pouhým odmazáním řádku s klíčem uživatele v /root/.ssh/authorized_keys

Osobní nástroje