Azért csináltam már olyat kollégákkal, hogy a Hyper-V node-ra is csak valami hasonló úton lehetett belépni:
1. Belépni egy jump hostra - természetesen 2fa-val. Továbbá képernyő rögzítés és billentyűzet figyelés is volt.
2. Majd innen belépni egy PIM toolon keresztül jump hostra. Itt is 2fa, illetve erősen szűrve volt, hogy ki léphet be egyáltalán a jump hostra. Természetesen se a vágólap, se fájl másolás nem működött a jump hostra és visszafelé sem.
3. Majd utolsó lépésben be lehetett lépni egy dedikált mgmt gépre, amiről aztán lehetett RDP-val / PSremoting-gal belépni a Hyper-V node-okra.
Természetesen volt SCCM / SCVMM is menedzselésre. De azt is csak a 3. lépésben lévő mgmt gépről lehetett elérni.
Nehezítette az életét az üzemeltetőknek? Igen.
Lehetett dolgozni a rendszerrel? Igen.
Az ssh-hoz és sudo-hoz annyit csak: Amikor engedik a "sudo -i"-t, illetve korlátlanul engedik a sudo parancsot futni sok felhasználónak, akkor szokott gyorsan kupleráj kialakulni. Csak sokan félnek, hogy jajj, 1000+ sor lesz a sudoers, ezért lusták minden parancsot az összes engedélyezett paraméterével felvenni. Nekem ebből már volt vitám kollégákkal, akik nem mindig értették, hogy ez miért növel(het)i a biztonságot... Persze a sudo közel sem csodaszer, csak egy eszköz a sok közül.