Melhor abordagem para gerar e usar pares de chaves ssh

3

Novo no ServerFault, mas já estou no StackOverflow há alguns meses e adorei.

Eu trabalho diariamente em 5 servidores que venho configurando há algum tempo.

Esses servidores são todos do AIX 7.1 e são bastante semelhantes, executando todos os diferentes ambientes do mesmo aplicativo.

Eu tenho o mesmo usuário em todos os cinco deles, e a estrutura de diretórios deles é praticamente a mesma.

Eu normalmente abro sessões de massa para todas elas do meu laptop Windows para o meu trabalho diário, mas também há muito ssh e scp entre elas.

Eu quero configurar a autenticação baseada em chave SSH para não precisar emitir uma senha todas as vezes. Também para permitir que alguns scripts automatizados sejam executados entre eles. Como eu também preciso disso para automação, não estou planejando usar o ssh-agent, mas sim gerar o (s) par (es) de chaves com uma frase secreta vazia. Estou ciente de que é menos seguro.

O que eu tenho pensado é ... qual é a melhor abordagem? Devo gerar um par de chaves diferente em cada um dos servidores e distribuir cada chave pública para os outros 4? Ou devo preferir associar o par de chaves ao usuário (o mesmo em todos os 5 servidores) e ter um único par de chaves?

Eu nem tenho certeza se essa última idéia é possível já que eu teria um usuário logando do servidor A (cliente ssh) para o servidor B (servidor ssh), onde o par de chaves do servidor ssh é o mesmo do ssh cliente ... Ou será que somente o cliente apresenta as chaves para o servidor, e isso é possível?

Acho que preciso acessar o livro do SSH e ler mais sobre ele, mas pensei em jogá-lo e ver o que os outros sugerem.

    
por James 28.01.2014 / 00:11

1 resposta

1

Eu sempre gerou uma chave por dispositivo cliente (dispositivo do qual sou ssh'ing). Isso facilita a exclusão de uma chave potencialmente comprometida - por exemplo, se eu perder meu tablet, exclua a chave do tablet de todos os meus servidores.

Para fazer o login da minha máquina local para um servidor, então para outro servidor, o ssh-agent pode cuidar disso.

Para scripts que SSH entre servidores, eles obtêm sua própria chave, separada da minha e única para cada par de servidores.

    
por 28.01.2014 / 02:47