mikes: нет никаких ни у кого сайтиков и нет никого кроме меня. У меня проблема - не хочу sudo с паролем, если у меня авторизация по ключам. И вообще думаю забью на все и верну рута на сервер - к черту это судо, безопасности оно не добавляет серверу где есть один администратор, а гемороя создает на порядок больше.
Не понял что предложил? У меня и сейчас доступ по паролям полностью закрыт. Другое дело, нужно ли действительно для администратора ходить через левого юзера и повышать права через судо? Складывается впечатление, что нет и нужно выкинуть на помойку 100% мануалов в рунете про настройку сервера и в частности SSH
>чем это будет менее секурно, чем авторизация по ключу простого пользователя, а потом авторизация в суду с тем же ключом?
Вот это не ко мне вопрос. А чем будет более секюрно использовать слабый пароль для sudo? Сильный пароль ненавводишься на каждый чих.
1) И что, это безопасно? Включение в эту группу избавить от sudo или от пароля для sudo
2) Миллионы инструкций говорят что это небезопасно, хотя я логики и не вижу в их доводах. По крайней мере sudo без пароля - это действительно бессмысленно. Лучше уж от root заходить по ключу
3) Это полумера. Я не знаю безопасных команд, а при администрировании может потребоваться любая в том числе и самые опасные.
4) Как вариант, но опять же неконсистентный.
Ясно, спасибо. А не будет ли это более небезопасно, ведь права повышаются? Т/е что предпочесть: повышение прав на всё или заходить юзером www-data от которого работает вебсервер? Можно подробнее, какие риски в том и в другом случае? Хочется просто знать, чем жертвуешь выбирая один из вариантов.
1) У меня нет putty - у меня терминал и им я не хожу файлы заливать. Для файлов есть файловый менеджер, для скриптов - консоль. Очень редко я работаю с этими сущностями параллельно.
Это как? Заливаю я по SFTP специальным клиентом ( Transmit предположим) и как скрипт запустится? Я тут вижу только одно решение - по крону его раз в час пускать, но это капец костыль.
-1 - + 1 это все ясно, про это я сам написал.
2. Что для этого есть? Через сервис что ли смс получать? Или приложение будет на мобильнике/лаптопе ключи генерить? Как это работает?
3) Оверхед. Защита первых трех уровней если сделана без изъяна уже дает +99%, а у меня не то чтобы такая важная информация, чтобы стоило ее так сильно стараться выколупать (конкуренты просто брутфорс закажут, а ботов остановят и первые 3 уровня). В конце концов проще найти баг в компонентах, чем ломиться в полностью забарикадированную нарисованную на стене дверь.
