Fatal编程技术网
  • google-compute-engine/
  • Google compute engine 允许用户在没有sudo访问权限的情况下连接SSH?

Google compute engine 允许用户在没有sudo访问权限的情况下连接SSH?

google-compute-engine google-cloud-platform

Google compute engine 允许用户在没有sudo访问权限的情况下连接SSH?,google-compute-engine,google-cloud-platform,gcloud,Google Compute Engine,Google Cloud Platform,Gcloud,我想做的是:在Google Compute Engine上设置一个备份服务器,我公司的员工可以通过rdiffbackup让他们的计算机每晚备份一次。cron作业将运行rdiffbackup,它使用SSH像SCP一样发送文件 使用“普通”服务器,我可以为每个员工创建一个新用户,并设置权限,使他们无法读取其他员工的文件 它看起来像是使用“gcloud compute ssh”工具,或者使用“gcloud compute config ssh”配置常规ssh,只允许用户连接添加到项目中并已将其计算机连

我想做的是:在Google Compute Engine上设置一个备份服务器,我公司的员工可以通过rdiffbackup让他们的计算机每晚备份一次。cron作业将运行rdiffbackup,它使用SSH像SCP一样发送文件

使用“普通”服务器,我可以为每个员工创建一个新用户,并设置权限,使他们无法读取其他员工的文件

它看起来像是使用“gcloud compute ssh”工具,或者使用“gcloud compute config ssh”配置常规ssh,只允许用户连接添加到项目中并已将其计算机连接到其google帐户的用户。我的问题是,我看不到一个用户在服务器上拥有读写能力而不同时也是sudoer的方法(据我所知,任何添加到带有“Can Edit”的项目中的人都可以获得sudo)。显然,如果他们有sudo,他们可以读取其他人的文件

我可以让某人在没有sudo的情况下远程SSH吗?谢谢。

我建议大家不要使用gcloud。gcloud的SSH工具旨在轻松管理项目中不断变化的一组机器。它并没有涵盖所有也会使用SSH的用例

相反,我建议您像设置普通服务器一样设置备份服务:

  • 分配一个静态地址
  • (可选)指定dns名称
  • 使用adduser在框上设置用户
我建议大家都不要使用gcloud。gcloud的SSH工具旨在轻松管理项目中不断变化的一组机器。它并没有涵盖所有也会使用SSH的用例

相反,我建议您像设置普通服务器一样设置备份服务:

  • 分配一个静态地址
  • (可选)指定dns名称
  • 使用adduser在框上设置用户
我建议大家都不要使用gcloud。gcloud的SSH工具旨在轻松管理项目中不断变化的一组机器。它并没有涵盖所有也会使用SSH的用例

相反,我建议您像设置普通服务器一样设置备份服务:

  • 分配一个静态地址
  • (可选)指定dns名称
  • 使用adduser在框上设置用户
我建议大家都不要使用gcloud。gcloud的SSH工具旨在轻松管理项目中不断变化的一组机器。它并没有涵盖所有也会使用SSH的用例

相反,我建议您像设置普通服务器一样设置备份服务:

  • 分配一个静态地址
  • (可选)指定dns名称
  • 使用adduser在框上设置用户
      • 您有两种选择

      1) 通过使用标准命令(如“adduser”而不是gsutil/UI/metadata update path)手动添加非root用户,您可以像在任何普通Linux机器上一样管理实例上的非root用户

      2) 或者,如果需要管理大型计算机集群,可以禁用Google提供的整个ACL管理,并为此运行自己的LDAP服务器。负责帐户更新并需要禁用才能运行的文件是此文件

      3) 最后,您可以锁定根用户的写访问权限,即通过在sudoers文件“chattr+i/etc/sudoers”上设置不可变标志来禁用从元数据服务器传播的写操作。这不是一个优雅的解决方案,但很有效。通过这种方式,您可以为已添加的用户锁定Root,并且任何新用户都将作为非Root特权用户添加,但是任何新的Root级别用户都需要逐台机器手动添加。

      您有两个选项

      1) 通过使用标准命令(如“adduser”而不是gsutil/UI/metadata update path)手动添加非root用户,您可以像在任何普通Linux机器上一样管理实例上的非root用户

      2) 或者,如果需要管理大型计算机集群,可以禁用Google提供的整个ACL管理,并为此运行自己的LDAP服务器。负责帐户更新并需要禁用才能运行的文件是此文件

      3) 最后,您可以锁定根用户的写访问权限,即通过在sudoers文件“chattr+i/etc/sudoers”上设置不可变标志来禁用从元数据服务器传播的写操作。这不是一个优雅的解决方案,但很有效。通过这种方式,您可以为已添加的用户锁定Root,并且任何新用户都将作为非Root特权用户添加,但是任何新的Root级别用户都需要逐台机器手动添加。

      您有两个选项

      1) 通过使用标准命令(如“adduser”而不是gsutil/UI/metadata update path)手动添加非root用户,您可以像在任何普通Linux机器上一样管理实例上的非root用户

      2) 或者,如果需要管理大型计算机集群,可以禁用Google提供的整个ACL管理,并为此运行自己的LDAP服务器。负责帐户更新并需要禁用才能运行的文件是此文件

      3) 最后,您可以锁定根用户的写访问权限,即通过在sudoers文件“chattr+i/etc/sudoers”上设置不可变标志来禁用从元数据服务器传播的写操作。这不是一个优雅的解决方案,但很有效。通过这种方式,您可以为已添加的用户锁定Root,并且任何新用户都将作为非Root特权用户添加,但是任何新的Root级别用户都需要逐台机器手动添加。

      您有两个选项

      1) 通过使用标准命令(如“adduser”而不是gsutil/UI/metadata update path)手动添加非root用户,您可以像在任何普通Linux机器上一样管理实例上的非root用户

      2) 或者,如果您需要管理大型机群