администрирование ssh-ключей для многих пользователей, серверов

8

У моей компании есть несколько удаленных серверов Ubuntu. Доступ к этим серверам контролируется ключами SSH. Управлять этими ключами довольно сложно, особенно когда сотрудник покидает компанию или присоединяется к ней.

Есть ли хорошее решение для централизованного управления ключами в Ubuntu?

Адам

server administration ssh Адам Матан
источник

Ответы:

4

Пейзаж

Пейзаж Canonical упрощает управление многими машинами одновременно.

Вы можете просто иметь централизованное хранилище ключей и, по требованию, выталкивать изменения в файл known_hosts каждой машины.

Rsync

В качестве альтернативы, если вы не хотите использовать Landscape, как насчет простой синхронизации known_hosts через rsync ? Я не очень знаком со всем этим предпринимательским бизнесом, но он должен работать очень хорошо.

Предполагая, что компьютеры компании отключаются каждую ночь, я бы сделал это:

  • У вас на сервере есть централизованный файл known_hosts, которым вы управляете вручную.
  • написать очень простую программу, которая во время загрузки пытается извлечь этот файл и заменить текущий
  • на административной стороне протестируйте все измененные на мастер-файл, прежде чем вытолкнуть его, что можно сделать, просто заменив тот, к которому все клиенты пытаются получить доступ.

Вы можете использовать RCS , любимую версию старого системного администратора, для управления различными версиями вашего мастер-файла.

Обратите внимание, что многие системные администраторы скажут вам, что централизация вещей представляет собой угрозу безопасности и, как правило, не очень хорошая идея.

LDAP

Теперь я не сисадмин (и поэтому не стоит доверять этому вопросу). Вы действительно должны задать этот вопрос на сервере

Кажется, LDAP там довольно много. Вот немного информации о получении открытых ключей SSH из LDAP , и вот еще немного .

Этот вопрос также может быть интересен для вас.


Я надеюсь, что это полезно. Как вы обнаружили, управление ssh-доступом в больших установках действительно довольно сложно.

Стефано Палаццо
источник
Посмотрите на настройку LDAP и смонтируйте пользовательский $ HOME через NFS. Когда пользователь покидает компанию, удалите его учетную запись LDAP, и все готово. (пользователь должен существовать до проверки ключа ssh)
csgeek
1
Я думаю, он имел в виду author_keys not known_hosts, хотя оба они очень важны.
SpamapS
Сделал это сообществом вики, потому что - как я уже сказал - я не сисадмин. Отредактируйте этот ответ, чтобы сделать его лучше.
Стефано Палаццо
Как вы делаете это с пейзажем? Я не вижу варианта.
vcardillo
1

Можно использовать центры сертификации и отозвать маркеры в файле «известные хосты». Другой вариант, вероятно, использовать вместо этого какой-либо «корпоративный» метод аутентификации PAM.

Janc
источник
2
Ссылка была бы чрезвычайно полезна.
Адам Матан