在你们用的关键系统上安装ssh服务器软件,将其设置为只接受公开密钥授权,并把所有其它可能用来远程登录的服务关闭。然后在数据中心安装二台小型的台式电脑,运行RedHat Linux,我们称这二台机器为管理工作站。
在管理工作站上安装我们的AutoSSH,CaclMgr,WZSysGuard。
在这二台管理工作站上,为每个管理项目(如,系统管理,数据库管理,应用1管理,应用2管理,等等)建一个用户和组账号,每个这样的账号与信息安全人员一起,在其中一台管理工作站上运行
$ ssh-keygen -b 4096 -t rsa
所生成的私有密钥必须有密码保护,而密码必须是双人控制。对密码的记忆只需持续到完成设置后。密码的选择可以是所看文章中某页上第二行到倒数第二行上的前四个字或后四个字,包括标点符号。这样总的密码长度会是八个中文字符。
把生成的ssh密钥复制到另一台管理工作站上相同的目录下(若那个目录不存在,创建之。确保把目录和文件的访问权限设置成与前一台机器一样)。
然后,把公开密钥放进所要管理的各台服务器上相应账号的.ssh/authorized_keys中,并针对每台所管理的服务器,在二台管理工作站上运行:
$ ssh 用户名@服务器名
确认你的帐号登陆没有问题,若有,解决之。
现在,可以在二台管理工作站上将ssh密码加密:
$ asshkey user@server
注:不要修改上面这个命令中的任何字符。
测试:
$ assh 用户名@服务器名
看看是否能自动登录,若能,就可无须再记住ssh密钥的密码了。
现在,把账号的机器密码设置成某篇文章中的(2,3)(3,5)(4,1)(5,4)(8,11)。这里,第一的数字是行号,第二个是那一行上的第几个字符。只是一个例子,目的是让密码难记及难猜。设置后,无须记忆。
然后,需要信息安全部门的人员在他们的机器上运行
$ cacladm 你在二台管理工作站上建立的账号名
为你的账号产生设置授权代理的初始密码。
在收到信息安全部门为你生成的初始密码后,在二台管理工作站上运行
$ cacl -P
设置你的授权代理密码。接着运行
$ cacl -a @你的组名 /usr/local/bin/assh
之后为每一位管理员在二台管理工作站上建立各自的账号,根据其所属的工作类别,分别将他们的组设置成系统管理组,数据库管理组,应用1管理组,等等。
公司若有XenDesktop,并且VPN, 就把二台管理工作站上的防火墙设置成只允许从XenDesktop的窗口机器上来的SSH连接,其它一律拒绝。
需要信息安全部门为每一位管理员生成授权代理的初始密码。然后每一位管理员运行:
$ cacl -P
设置授权代理密码。
这样,当管理员需要登录特定服务器进行工作时,须先登录XenDesktop,从那,ssh到二台管理工作站的一台上,然后
$ secrun cacl -e 管理员账号 assh 远程机器上的管理员账号@远程机器
为什么要用secrun? 因为它能为cacl命令防特洛伊木马的攻击。(信息安全部门需在二台工作站上运行
$ appcert /usr/local/bin/cacl
来把/usr/local/bin/cacl的有关信息记录下来,之后,secrun才能在运行这个命令时检测到木马的攻击)。