Зачем техподдержке SSH-доступ к вашему серверу | ISPserver Перейти к основному содержанию

Помощь

Зачем техподдержке SSH-доступ к вашему серверу

У сотрудников техподдержки есть доступ к каждому виртуальному и выделенному серверу клиента.

Ключ с подписью support access key находится в файле /root/authorized_keys:

SSH ключ для техподдержки

Это может показаться подозрительным — вдруг недовольный сотрудник поддержки заразит сайты вирусами или удалит данные. Но вам не о чем переживать:

  • Доступ саппорта жёстко ограничен — компрометация ключа и подобные инциденты исключены.
  • Саппорт пользуется доступом, только чтобы оперативно решать проблемы клиентов.

Ключ помогает быстро решать проблемы клиентов

Чтобы помочь при поломке на сервере, необходим доступ. Если клиент потерял основной из них (root), на помощь приходит SSH ключ. С ним сотрудник авторизуется на сервере без пароля — получит защищённый доступ и решит проблему за 10 минут.

Без SSH ключа можно потратить полчаса только на переписку. Клиент будет вспоминать пароль, предлагать варианты. Ни один из них не подойдёт, сотрудник поддержки сбросит root до первоначального и только потом приступит к решению проблемы. Неразумная трата времени, когда каждая минута недоступности сайта — потерянные клиенты и деньги.

Доступ по SSH ограничен

На самом деле механизм подключения к серверу по SSH подразумевает наличие двух ключей: открытого и закрытого.

Мы создаём эту пару и кладём открытый ключ на сервер клиента, а закрытый — на свой. При этом отпечаток открытого ключа у нас тоже есть.

В процессе авторизации открытый ключ клиента и этот отпечаток сравниваются. Затем с клиентского сервера поступает сообщение, его можно расшифровать только нашим закрытым ключом.

Доступ по SSH безопасен потому, что для соединения не нужно передавать закрытый ключ. А значит, он не может быть скомпрометирован. Но главное, что сотрудникам этот ключ тоже неизвестен — он хранится на закрытом сервере авторизации. Поэтому подключиться к серверу клиента может только техподдержка и только из офиса.

Как поддержка подключается по SSH

Схема соединения с сервером по SSH

Ключ сотрудника

У каждого саппортера есть свой ключ от севера авторизации: легко проследить, кто конкретно из сотрудников «ходил» на сервер клиента.

Доступ к серверу авторизации ограничен: можно подключиться только из офиса. И опять же не останешься анонимным.

Ключ генерируется при приёме на работу, уничтожается при увольнении. Нет риска, что старый сотрудник воспользуется доступом.

Ключ надёжнее пароля — невозможно перехватить или подобрать. К тому же сотрудники подписывают документ о его неразглашении.

Сервер авторизации

В целях безопасности у поддержки нет доступа к самому приватному ключу. Они подключаются к серверам клиентов через сервер авторизации. Он проверяет подлинность пользователя (по индивидуальному ключу): если всё ок — подключает к серверу клиента. Другие действия на сервере авторизации недоступны сотруднику.

Сервер клиента

По индивидуальному ключу аутентификации видно: кто подключался, на какой сервер и сколько там пробыл. В случае каких-то проблем несложно найти виноватого.

Таким образом, SSH-доступ для поддержки безопасен и полезен при решении срочных проблем на сервере.

Назад к категории