Sistema di gestione chiavi SSH

8

Sto cercando di passare dal sistema basato su password (che sto iniziando a diventare sopraffatto) al sistema basato su chiavi SSH.

Vorrei sapere se esiste un sistema di gestione delle chiavi SSH o una soluzione server, che mi consentirebbe di distribuire e revocare le chiavi su macchine?

O l'approccio migliore è usare Puppet per questo compito? Se sì, l'approccio della singola coppia di chiavi per macchina client (descritta qui: Il miglior sistema per la gestione delle chiavi ssh? ) Sarebbe il migliore?

ssh  puppet  keys 
SyRenity
fonte

Risposte:

3

Sì, Puppet è il modo giusto per farlo, e da quell'altra domanda, l'opzione 3 sembra essere la più sensata (oltre ad essere la risposta accettata [sempre un buon segno!]).

C'è un modulo ssh_key per Puppet che rende il tutto banalmente facile.

Tom O'Connor
fonte
Puoi indicarmi questo modulo? Inoltre, nel caso in cui un client venga compromesso (ad esempio un laptop rubato), posso facilmente disabilitare questa chiave pubblica? E posso aggiungere facilmente nuove chiavi?
SyRenity,
1
Sì, è facile aggiungere e rimuovere le chiavi centralmente, anche se in pratica ogni modulo di gestione delle chiavi SSH disponibile al pubblico per Puppet è ass; è più semplice usare direttamente un file frammentato.
womble
Puoi spiegare cosa intendi per file frammentato? È un file archiviato centralmente o qualcosa del genere?
SyRenity,
1
Mi sembra di ricordare che si tratta di una combinazione di reductivelabs.com/trac/puppet/wiki/… e reductivelabs.com/trac/puppet/wiki/Recipes/Authorized_keys che verificherò in seguito quale era esattamente.
Tom O'Connor,
3

SSH è bello, ma quando inizi a ridimensionare un gran numero di chiavi e ACL, diventa brutto veloce.

Kerberos è stato progettato per funzionare in questo tipo di ambiente (molti ACL, revoca delle chiavi, ecc.) La gestione degli utenti con Kerberos è una seccatura, ma se hai un numero molto piccolo di utenti, è abbastanza facile.

Chris
fonte
Grazie, lo verificherò, ho pensato che i tasti SSH tramite Puppet sembra un approccio più veloce.
SyRenity,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.