amministrazione delle chiavi ssh per molti utenti, server

8

La mia azienda ha alcuni server Ubuntu remoti. L'accesso a questi server è controllato da chiavi ssh. Gestire queste chiavi è piuttosto doloroso, specialmente quando un dipendente lascia o entra in azienda.

Esiste una buona soluzione per la gestione centralizzata delle chiavi su Ubuntu?

Adamo

server  administration  ssh 
Adam Matan
fonte

Risposte:

4

Paesaggio

Canonical's Landscape semplifica la gestione di più macchine contemporaneamente.

Potresti avere solo un keystore centralizzato e, su richiesta, inviare le modifiche al file known_hosts di ogni macchina.

rsync

In alternativa, se non vuoi usare Landscape, che ne dici di sincronizzare semplicemente known_hosts tramite rsync ? Non ho molta familiarità con tutte queste attività imprenditoriali, ma dovrebbe funzionare molto bene.

Supponendo che i computer dell'azienda vengano spenti ogni notte, farei questo:

  • Possiedi su alcuni server un file known_hosts centralizzato che gestisci manualmente.
  • scrivere un programma molto semplice che, all'avvio, tenta di recuperare quel file e sostituire quello corrente
  • dal punto di vista amministrativo, testare tutte le modifiche al file principale prima di estrarlo, sostituendolo con quello a cui tutti i client tentano di accedere.

potresti usare RCS , il preferito di un vecchio amministratore di sistema, per gestire diverse versioni del tuo file master.

Nota che molti amministratori di sistema ti diranno che centralizzare le cose è un rischio per la sicurezza e generalmente non è una grande idea.

LDAP

Ora, non sono un amministratore di sistema (e quindi non mi fido di questo argomento). Dovresti davvero fare questa domanda su serverfault

LDAP sembra arrivare abbastanza spesso. Ecco alcune informazioni su come recuperare le chiavi pubbliche SSH da LDAP , ed eccone alcune .

Questa domanda potrebbe anche interessarti.


Spero che questo sia utile. Come ti sei scoperto, gestire l'accesso ssh in grandi configurazioni è davvero piuttosto complicato.

Stefano Palazzo
fonte
Cerca nell'impostazione di LDAP e monta $ HOME dell'utente tramite NFS. Quando l'utente lascia l'azienda, elimina il suo account LDAP e il gioco è fatto. (l'utente deve esistere prima di verificare la chiave ssh)
csgeek
1
Penso che intendesse con le chiavi autorizzate non conosciute, sebbene entrambi siano molto importanti.
SpamapS,
È diventato wiki della comunità, perché - come ho già detto - non sono un amministratore di sistema. Modifica questa risposta per migliorarla.
Stefano Palazzo
Come si fa con Landscape? Non vedo l'opzione.
vcardillo,
1

È possibile utilizzare le autorità di certificazione e revocare i marcatori nel file "host noti". Un'altra opzione è probabilmente quella di utilizzare invece un metodo di autenticazione PAM "enterprise".

Janc
fonte
2
Un collegamento sarebbe estremamente utile.
Adam Matan,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.