Hệ thống quản lý khóa SSH

Tôi đang tìm cách chuyển từ dựa trên mật khẩu (mà tôi bắt đầu trở nên quá tải) sang hệ thống dựa trên các khóa SSH.

Tôi muốn biết nếu có bất kỳ giải pháp quản lý khóa hoặc hệ thống máy chủ SSH nào, điều này sẽ cho phép tôi phân phối và thu hồi khóa trên các máy không?

Hoặc cách tiếp cận tốt nhất là sử dụng Puppet cho nhiệm vụ này? Nếu có, thì cách tiếp cận của cặp khóa đơn trên mỗi máy khách (được mô tả ở đây: Hệ thống tốt nhất để quản lý khóa ssh? ) Là tốt nhất?

ssh puppet keys

— SyRenity
nguồn

Câu trả lời:

Đúng, Puppet là cách đúng đắn để làm điều này, và từ câu hỏi khác, Phương án 3 dường như là hợp lý nhất (cũng như là câu trả lời được chấp nhận [luôn là một dấu hiệu tốt!]).

Có một mô-đun ssh_key cho con rối giúp cho mọi thứ trở nên dễ dàng.

— Tom O'Connor
nguồn

Bạn có thể chỉ cho tôi mô-đun này? Ngoài ra, trong trường hợp một khách hàng bị xâm nhập (ví dụ như máy tính xách tay bị đánh cắp), tôi có thể dễ dàng vô hiệu hóa khóa công khai này không? Và tôi có thể dễ dàng thêm khóa mới?

— SyRenity

Có, thật dễ dàng để thêm và xóa các khóa tập trung, mặc dù thực tế nói mọi mô-đun quản lý khóa SSH có sẵn công khai cho con rối là ass; sử dụng trực tiếp một tệp bị phân mảnh sẽ dễ dàng hơn.

— womble

Bạn có thể giải thích những gì bạn có nghĩa là bởi tập tin phân mảnh? Nó là một tập tin lưu trữ tập trung hay cái gì đó?

— SyRenity

Tôi dường như nhớ lại nó là sự kết hợp của reducteelsabs.com/trac/puppet/wiki/ cho và reducteelsabs.com/trac/puppet/wiki/Recipes/Authorized_keys Tôi sẽ kiểm tra chính xác sau.

— Tom O'Connor

SSH là tốt, nhưng khi bạn bắt đầu mở rộng quy mô với số lượng lớn các khóa và ACL, nó sẽ trở nên xấu nhanh.

Kerberos được thiết kế để hoạt động trong môi trường như vậy (rất nhiều ACL, thu hồi khóa, v.v.) Quản lý người dùng bằng kerberos là một điều khó khăn, nhưng nếu bạn có một số lượng người dùng rất nhỏ, điều đó khá dễ dàng.

— chris
nguồn

Cảm ơn, sẽ kiểm tra xem, nghĩ rằng các khóa SSH thông qua âm thanh Puppet là cách tiếp cận nhanh hơn.

— SyRenity