在你們用的關鍵係統上安裝ssh服務器軟件,將其設置為隻接受公開密鑰授權,並把所有其它可能用來遠程登錄的服務關閉。然後在數據中心安裝二台小型的台式電腦,運行RedHat Linux,我們稱這二台機器為管理工作站。
在管理工作站上安裝我們的AutoSSH,CaclMgr,WZSysGuard。
在這二台管理工作站上,為每個管理項目(如,係統管理,數據庫管理,應用1管理,應用2管理,等等)建一個用戶和組賬號,每個這樣的賬號與信息安全人員一起,在其中一台管理工作站上運行
$ ssh-keygen -b 4096 -t rsa
所生成的私有密鑰必須有密碼保護,而密碼必須是雙人控製。對密碼的記憶隻需持續到完成設置後。密碼的選擇可以是所看文章中某頁上第二行到倒數第二行上的前四個字或後四個字,包括標點符號。這樣總的密碼長度會是八個中文字符。
把生成的ssh密鑰複製到另一台管理工作站上相同的目錄下(若那個目錄不存在,創建之。確保把目錄和文件的訪問權限設置成與前一台機器一樣)。
然後,把公開密鑰放進所要管理的各台服務器上相應賬號的.ssh/authorized_keys中,並針對每台所管理的服務器,在二台管理工作站上運行:
$ ssh 用戶名@服務器名
確認你的帳號登陸沒有問題,若有,解決之。
現在,可以在二台管理工作站上將ssh密碼加密:
$ asshkey user@server
注:不要修改上麵這個命令中的任何字符。
測試:
$ assh 用戶名@服務器名
看看是否能自動登錄,若能,就可無須再記住ssh密鑰的密碼了。
現在,把賬號的機器密碼設置成某篇文章中的(2,3)(3,5)(4,1)(5,4)(8,11)。這裏,第一的數字是行號,第二個是那一行上的第幾個字符。隻是一個例子,目的是讓密碼難記及難猜。設置後,無須記憶。
然後,需要信息安全部門的人員在他們的機器上運行
$ cacladm 你在二台管理工作站上建立的賬號名
為你的賬號產生設置授權代理的初始密碼。
在收到信息安全部門為你生成的初始密碼後,在二台管理工作站上運行
$ cacl -P
設置你的授權代理密碼。接著運行
$ cacl -a @你的組名 /usr/local/bin/assh
之後為每一位管理員在二台管理工作站上建立各自的賬號,根據其所屬的工作類別,分別將他們的組設置成係統管理組,數據庫管理組,應用1管理組,等等。
公司若有XenDesktop,並且VPN, 就把二台管理工作站上的防火牆設置成隻允許從XenDesktop的窗口機器上來的SSH連接,其它一律拒絕。
需要信息安全部門為每一位管理員生成授權代理的初始密碼。然後每一位管理員運行:
$ cacl -P
設置授權代理密碼。
這樣,當管理員需要登錄特定服務器進行工作時,須先登錄XenDesktop,從那,ssh到二台管理工作站的一台上,然後
$ secrun cacl -e 管理員賬號 assh 遠程機器上的管理員賬號@遠程機器
為什麽要用secrun? 因為它能為cacl命令防特洛伊木馬的攻擊。(信息安全部門需在二台工作站上運行
$ appcert /usr/local/bin/cacl
來把/usr/local/bin/cacl的有關信息記錄下來,之後,secrun才能在運行這個命令時檢測到木馬的攻擊)。
更多我的博客文章>>>
