Lösung 1:
Das einzige, was mir einfällt, wäre, --expiredate hinzuzufügen bis adduser Anruf.
Damit weiß der Kunde, dass Ihr Zugang zu einem festgelegten Zeitpunkt automatisch abläuft.
Er muss Ihnen immer noch vertrauen, da Sie Root-Zugriff haben und das Ablauf-Flag immer noch entfernen könnten.
Lösung 2:
Sie können Ihre Sitzungen mit dem Dienstprogramm script(1) aufzeichnen.
$ script session.log
Script started, file is session.log
$ ls
file1 session.log
exit
Script done, file is session.log
dann alles befindet sich im session.log.
Lösung 3:
Da Sie sich bereits mit einem öffentlichen SSH-Schlüssel anmelden, würde es die Dinge ein wenig verschärfen, wenn Sie keinen Passwort-Hash angeben. Sagen Sie ihnen stattdessen, dass sie adduser --disabled-password verwenden sollen (entspricht useradd -p '!' , denke ich), was effektiv PasswordAuthentication no entspricht für dieses Konto, außerdem besteht keine Chance, dass jemand, der Ihre E-Mail-Adresse ausspioniert, den Passwort-Hash brutal erzwingen und sich als Sie anmelden kann.
Lösung 4:
Warum überhaupt ein Passwort angeben, wenn Sie öffentliche/private Schlüssel verwenden.
Öffentliche Schlüssel sollen geteilt werden, also sollten Sie dies verwenden, um Anmeldeinformationen sicher auszutauschen, nicht gehashte Passwörter.
sudo useradd --disabled-password hbruijn
Wenn Sie Ihren öffentlichen Schlüssel senden, überprüfen Sie den Fingerabdruck über einen zweiten Kanal, wie z. B. einen Telefonanruf, damit Sie wissen, dass ihn niemand auf dem Weg dorthin verändert hat.
Da Sie jetzt kein Passwort haben, um sudo zu verwenden, müssen Sie auch Ihre Zeile in der sudoers-Datei in
ändern
hbruijn ALL=(ALL) NOPASSWD:ALL
Wenn es Ihnen unangenehm ist, kein Passwort für sudo zu haben, und wirklich ein Passwort wollen, müssen Sie trotzdem nicht Ihr gehashtes Passwort senden, das Konto ohne Passwort erstellen lassen, Ihren öffentlichen Schlüssel festlegen und sobald Ihr Konto ist einrichten können Sie sich über ssh anmelden und passwd ausführen um Ihr eigenes Passwort festzulegen.