Inicializando a rede ssh totalmente conectada

Navegue suas respostas
1

Eu tenho cinco máquinas Linux com uma conta de serviço em cada com o mesmo nome. Todos eles têm uma conexão de sub-rede entre si ( 192.168.1.{1,2,3,4,5} ).

Eu tenho um script que analisa /etc/hosts e adiciona os IPs apropriados aos nomes de host apropriados. Cada máquina precisa ser capaz de iniciar ssh sem senha para todas as outras máquinas (15 rotas não triviais). Isso tudo funciona bem, mas é muito trabalhoso gerenciar se uma nova máquina for adicionada ou uma máquina for removida. Minha pergunta é esta:

Considerando uma rede totalmente conectada de máquinas, como gerencio conexões em cada máquina ao mesmo tempo? por exemplo. Faça com que cada máquina converse entre si sem adicionar chaves e editar hosts manualmente

    
por Luke Smith 26.03.2016 / 22:00

1 resposta

2

Longa história curta:

Chaves do host

  1. Crie uma chave CA para chaves do host: 

    ssh-keygen -f host_ca

  2. Assinar todas as chaves do host e copiá-las para o servidor: 

    ssh-keygen -s host_ca -I host_foo -h -n foo.bar.com -V +52w /etc/ssh/ssh_host_rsa_key.pub

  3. Configure o servidor ( /etc/ssh/sshd_config ) para anunciar certificados (além das chaves do host): 

    HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub

  4. Configure clientes ( /etc/ssh/ssh_known_hosts ) (também o seu servidor, se você procura comunicação mútua): 

    @cert-authority *.bar.com ssh-rsa AAAAB3[...]== Comment

Chaves de autenticação:

  1. Crie uma chave de CA para os usuários: 

     ssh-keygen -f user_ca

  2. Configure o servidor para aceitar as chaves assinadas por esta CA (novamente em '/ etc / ssh / sshd_config'): 

    TrustedUserCAKeys /etc/ssh/user_ca.pub

  3. Assinar a chave de autenticação: 

     ssh-keygen -s user_ca -I user_thomas -n thomas,thomas2 -V +52w /path/to/id_rsa.pub

Mais notas estão disponíveis em habets.se ou na página de manual para sshd . Ele deve responder a todas as suas perguntas, mas se não, sinta-se à vontade para perguntar mais.

    
por 26.03.2016 / 22:54

Tags

pfSense com NICs Mellanox ConnectX-2 de 10GBit Como instalo o LXDE offline no debian?