Quando o par de chaves de um servidor SSH, isto é, as chaves em
/etc/ssh/ssh_host_(rsa|dsa|ecdsa|etc)_key
e em
/etc/ssh/ssh_host_(rsa|dsa|ecdsa|etc)_key.pub
são atualizados, os usuários do SSH devem ser notificados sobre a nova chave pública do servidor.
Supondo que o endereço de e-mail seja o comentário de chave pública para cada usuário, existe uma maneira de notificar automaticamente cada usuário SSH da alteração do par de chaves do servidor?
Existe uma ferramenta que pode fazer isso ou devo rolar meu próprio script (shell|python|etc) ?
Pode ser interessante observar que seu servidor DNS pode incluir SSHFP records. Isso não vai responder à sua pergunta, embora possa fazer parte da sua solução:
Sempre que os pares de chaves dos seus servidores forem alterados, você poderá atualizar esses registros DNS (eu faço isso usando o fantoche). Embora a última vez que verifiquei, a integração do cliente ainda é limitada.
As chaves públicas são apenas isso: públicas. Se você publicar as informações da chave pública de alguma forma alternativa (página da web, o envio de um e-mail, como você propõe), todas elas serão válidas. Mas ... o outro colega pode suspeitar dessa mudança. Existe uma maneira de confirmar que o e-mail enviado é legítimo? (talvez, se você usar o PGP). Se você publicar sua chave pública em uma página da Web "oficial", isso significa que a chave pública é real? (talvez, se sua página inicial não tiver sido invadida).
Quando um cliente ssh tenta se conectar quando a chave pública é alterada, ele sabe disso. Talvez apenas o envio de um email com notificação sobre a alteração da chave seja suficiente.
Tags automation ssh-keys