È una buona idea una posizione centrale per authorized_keys?

Sto configurando un server cloud per eseguire il seguente stack: Ruby, Passenger, Apache; sotto Ubuntu 10.04 (Lucid Lynx).

Nel processo di voler semplificare la gestione del server, ho impostato le chiavi RSA roote www-dataposso sshaccedere al server. La cosa che non mi è piaciuta è stata www-datala .sshdirectory in /var/wwwcui si trova l'impostazione di directory predefinita per apache. La mia preoccupazione è che se apache non è configurato correttamente, la .sshdirectory può essere esposta.

Mi sono imbattuto la soluzione per spostare il ~/.ssh/authorized_keysfile in una posizione centrale, modificando AuthorizedKeysFilein /etc/ssh/sshd_config. Questo viene fornito con 2 professionisti: una posizione unica per le chiavi e non doversi preoccupare di una cattiva configurazione di Apache. L'unico neo che mi viene in mente è che ora ogni utente è disponibile per l'accesso al server (chiaramente un'arma a doppio taglio del file della chiave centrale.)

C'è qualcosa che mi è sfuggito in questa configurazione? Mi sono esposto eccessivamente o è una soluzione migliore dei singoli authorized_keysfile?

Sono verde quando si tratta di gestione dei server, ma sono totalmente pronto per essere chiamato nomi cattivi per fare cose cattive. : D

Tutti i file delle chiavi possono essere centralizzati nella stessa directory e non mescolati nello stesso file.

Basta impostare il sshd_configfile in questo modo:

AuthorizedKeysFile  /etc/ssh/authorized_keys/%u

Sul tuo server:

• Le chiavi www-data saranno presenti /etc/ssh/authorized_keys/www-data
• saranno presenti le chiavi di root /etc/ssh/authorized_keys/root

Per quanto riguarda i diritti di accesso, queste impostazioni sono accettate da sshd:

/etc/ssh/authorized_keysè di proprietà root:roote ha la modalità 755. I file chiave sono di proprietà root:roote hanno la modalità 644.

Altre modalità potrebbero funzionare ma non le ho ancora testate.

In generale, non farei ciò che stai suggerendo. Infrange ipotesi comuni (come ~/.ssh/authorized_keyslavorare per i tuoi utenti e introduce problemi che hai già menzionato nella tua domanda. Se vedi problemi evidenti prima dell'implementazione significa che la tua soluzione non è l'ideale.

Per quanto riguarda la sicurezza, penso anche che sia un'idea TERRIBILE che tutti condividano un account di servizio: in questo momento sei solo tu, e sai che sei tu a fare le modifiche. Tra 5 anni, quando hai 5 amministratori, vorrai sapere chi ha cambiato cosa e scavare nei registri di controllo per vedere chi ha usato quale chiave quando è un dolore reale.
È meglio avere le persone che accedono come se stesse e usano sudoo qualcosa di simile per intensificare i loro privilegi e fare tutto ciò che devono fare.

Se vuoi ancora centralizzare le chiavi SSH, ti suggerisco di esaminare un sistema di distribuzione come Puppet o radmind per gestire / distribuire i authorized_keysfile nelle ~user/.ssh/directory appropriate (o hackerare una soluzione cresciuta in casa che li metta in posizione).
Quando si espande su più server, è possibile cercare la patch della chiave pubblica LDAP per le versioni precedenti di OpenSSH (o la AuthorizedKeysCommanddirettiva e uno script appropriato nella versione più recente di OpenSSH) in modo da poter centralizzare gli utenti e non dover distribuire le loro chiavi su tutta la rete, ma è probabile che sia abbastanza lontano per te.