Aha, szóval ez AWS. Gyorsan utána olvastam. Hivatalosan valóban nem lehet, de létezik a nem hivatalos megoldás annyi hátránnyal, hogy létező vm-en kézzel kell frissíteni, hogy a beállítások működjenek. Tehát ez nem annyira jó megoldás.
A fenti megoldás itt van leírva egyébként: https://stackoverflow.com/a/41486527
Ugyanakkor inkább egy másik bevált módszer felé mennék. Egy korábbi cégemnél az volt a megoldás, hogy volt egy Linux jump szerver. Oda mindenki a saját kulcsával ment be, majd onnan érte el infrán a többi gépet. A jump node gyakorlatilag mindent tudott logolni, hogy melyik user mit csinált pontosan (összes parancsot!). Ha kompromitálódott volna az egyik kulcs– akkor a régi törlésre került a jump szerveren és a usernek új kulcs generálása után volt megint hozzáférése. Igaz ez on-prem megoldás volt, de megfelelő módon ide is átültethető lehet akár. Ja az SSH is le volt limitálva a jump node-on és egy scp se működött direktbe a jump szerverre. Ezzel csak arra próbálok utalni, hogy lehet szépen szabályozni ki mit tud megtenni a hálózaton. Mi a jump szerveren keresztül mentünk mint egy tunnel a többi gépre.
Az utóbbi megoldásnak van egy olyan előnye, hogy az adminnak nem kell tudnia a privát kulcsot a rendszerekhez direktbe. Ha meg rosszat csinál valamelyik admin, akkor minden naplózva van és bizonyítható. Erre lehet beállítani log figyelést és riasztást küldeni valahova.
Admin gép -> SSH saját kulcs -> jump szerver –> SSH előredefiniált kulcs a sablonban. -> cél vm
Saját SSH kulccsal közvetlen nem éri el a cél vm-et. Ha pedig kimásolja a cél vm privát kulcsát, akkor pedig a tűzfal és az ssh is tudja blokkolni, tehát sokra nem megy a kulccsal. Szóval innen már lehet csavarni a dolgot minden irányba.
Egyébként egy harmadik oldakról megvizsgálható az is, hogy miért és mennyire kell a kollégákat korlátozni, leszámítva a juniorokat, akiknek bele kell tanulniuk a rendeszerbe. Nekik nem kell hozzáférést adni mindenhez az első napon és kell egy mentor mellé, aki segít neki betanulni. Lehet egy kicsit jobb szervezéssel hatékonyabb lehetne az egész.
A security fontos dolog és addig spórol rajta a cég, még egyszer valaki be nem megy hozzájuk és el nem visz értékes adatokat. Ezt célszerű felfelé prezentálni, hogy melyik olcsóbb. Ha meglopnak vagy védekezek ellene amennyire lehet. Pénzügyi szempontból az első a nyerő (spórolás), majd után mindenki kereshet másik munkát legrosszabb esetben. A cégnek viszont a védekezés éri meg hosszabb távon, mert ad egy biztonság érzetet. Az árát be kell építeni a termék/szolgáltatás árába.
A security felépítése nem kis munka, főleg ha jól akarjá csinálni. Ezt üzemeltetéssel együtt nelet csinálni. Az egy seggel 2 lovat esete sajnos.