ssh key administration para muitos usuários, servidores

8

Minha empresa tem alguns servidores remotos do Ubuntu. O acesso a esses servidores é controlado por chaves ssh. Gerenciar essas chaves é um problema, especialmente quando um funcionário sai ou se junta à empresa.

Existe uma boa solução para o gerenciamento de chaves centrais no Ubuntu?

Adam

    
por Adam Matan 22.11.2010 / 09:51

2 respostas

4

Paisagem

O Canonical's Landscape torna muito fácil gerenciar muitas máquinas de uma só vez.

Você poderia ter apenas um armazenamento de chaves centralizado e, sob demanda, enviar alterações para o arquivo known_hosts de cada máquina.

Rsync

Alternativamente, se você não quiser usar o Landscape, que tal simplesmente sincronizar o known_hosts via rsync ? Eu não sou tão familiarizado com todo esse negócio de empreendedorismo, mas deveria funcionar muito bem.

Supondo que os computadores da empresa sejam desligados todas as noites, eu faria isso:

  • Tenha em algum servidor um arquivo centralizado known_hosts que você gerencia manualmente.
  • escreve um programa muito simples que, no momento da inicialização, tenta buscar esse arquivo e substituir o atual
  • no lado administrativo, teste tudo alterado para o arquivo mestre antes de enviá-lo para fora, o que você faz apenas substituindo o que todos os clientes tentam acessar.

você pode usar o RCS , um dos favoritos de um administrador de sistemas, para gerenciar diferentes versões do seu arquivo mestre.

Note que muitos sysadmins lhe dirão que centralizar coisas é um risco de segurança, e geralmente não é uma ótima idéia.

LDAP

Agora, eu não sou um administrador de sistema (e, portanto, não é confiável neste assunto). Você realmente deveria fazer essa pergunta em serverfault

O LDAP parece ter surgido bastante. Aqui está um pouco de informação sobre como buscar Chaves Públicas SSH do LDAP , e aqui está um pouco mais .

Esta questão também pode ser do seu interesse .


Espero que isso seja útil. Como você se descobriu, gerenciar o acesso ssh em grandes configurações realmente é bastante complicado.

    
O
por Stefano Palazzo 13.04.2017 / 14:14
1

É possível usar autoridades de certificação e revogar marcadores no arquivo "hosts conhecidos". Outra opção é provavelmente usar algum método de autenticação PAM "corporativo".

    
por JanC 22.11.2010 / 10:13