Come gestite le chiavi SSH?


15

Ho un server con più utenti, ognuno con più chiavi SSH autorizzate. Esiste un modo efficace (utilità della riga di comando?) Per tenere traccia di quale chiave appartiene a chi e per rimuovere / aggiungere rapidamente le chiavi (oltre a ssh-copy-id)?


1
gli script di shell possono facilmente tenere traccia dei tempi di accesso dai registri e manipolare i file in .ssh ... So che non è quello che stai cercando, quindi è un commento non una risposta
RobotHumans

1
Utilizzare l'ultima parte di ciascuna riga in .ssh/authorized_keysè destinata ai commenti (da man sshd: "Le chiavi pubbliche del protocollo 1 sono costituite dai seguenti campi separati da spazio: opzioni, bit, esponente, modulo, commento. La chiave pubblica del protocollo 2 è composta da: opzioni, tipo di chiave, chiave con codifica base64, commento. "). E per rispondere alla domanda, io uso vimma qualsiasi editor dovrebbe farlo.
Shellholic,

Ovviamente se ogni utente ha un account utente separato, non ci sono problemi, purché tutte le voci siano nella cartella home di tutti (o effettivamente in .ssh / authorized_keys, ma comunque).
Olli,

@shellholic, hai una buona risposta. Pubblicalo in modo che possa essere contrassegnato come tale :)
djeikyb,

@djeikyb ok, fatto, ma dovrei completare un po '
shellholic il

Risposte:


3

È possibile utilizzare l'ultima parte di ogni riga in .ssh/authorized_keysè destinata ai commenti. Da man sshd:

Le chiavi pubbliche del protocollo 1 sono costituite dai seguenti campi separati da spazio: opzioni, bit, esponente, modulo, commento. La chiave pubblica del protocollo 2 è composta da: opzioni, tipo di chiave, chiave codificata in base64, commento.

E per rispondere alla domanda, io uso vimma qualsiasi editor dovrebbe farlo.

I miei commenti di solito contengono:

  • data di creazione
  • posizione fisica: creazione computer / chiavetta USB (preferisco non spostare la chiave privata ma generarla / revocarla e sapere dove si trovano)
  • 1-2 parole sullo scopo (per quale login, per quale client, per quale script)

3

Mi piacerebbe check-out il Monkeysphere progetto. Utilizza la rete di concetti di fiducia di OpenPGP per gestire i file s_sys autorizzati e s_hosts di ssh, senza richiedere modifiche al client o al server ssh.



Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.