Вопрос: Система управления ключами SSH


Я хочу переключиться с основанного на пароле (который я начинаю перегружать) на систему на основе SSH-ключей.

Я хотел бы узнать, есть ли какая-либо система управления ключами SSH или серверное решение, которое позволит мне распространять и отзывать ключи над машинами?

Или лучший подход - использовать Puppet для выполнения этой задачи? Если да, то будет ли подход одной пары ключей на клиентскую машину (описанный здесь: Лучшая система управления ключами ssh?) будь лучшим?


8
2018-01-02 23:27


Источник




Ответы:


Да, Кукольный это правильный способ сделать это, и из этого другого вопроса Вариант 3 представляется наиболее разумным (а также принятым ответом [всегда хорошим знаком!]).

Есть модуль ssh_key для марионетки, который делает все это простым.


3
2018-01-03 00:17



Можете ли вы указать мне на этот модуль? Кроме того, если один клиент становится скомпрометированным (например, украденный ноутбук), я могу легко отключить этот открытый ключ? И я могу легко добавить новые ключи? - SyRenity
Да, легко добавлять и удалять ключи централизованно, хотя практически каждый публично доступный модуль управления ключами SSH для марионетки - это задница; проще просто использовать фрагментированный файл напрямую. - womble♦
Можете ли вы объяснить, что вы подразумеваете под фрагментированным файлом? Это файл с централизованным хранением или что-то еще? - SyRenity
Кажется, я помню, что это сочетание reductivelabs.com/trac/puppet/wiki/... а также reductivelabs.com/trac/puppet/wiki/Recipes/Authorized_keys  Я проверю позже, что именно. - Tom O'Connor


SSH хорош, но когда вы начинаете масштабироваться до большого количества клавиш и списков ACL, он становится уродливым.

Kerberos был разработан для работы в такой среде (множество ACL, аннулирование ключей и т. Д.). Управление пользователями с помощью kerberos - это боль, но если у вас очень мало пользователей, это довольно просто.


3
2018-01-03 02:12



Спасибо, проверим, подумали ли SSH-ключи через Puppet звуки как более быстрый подход. - SyRenity