LINUX.ORG.RU

мнэээ откуда 40 ключей, сколь помню ключ на компе один, а на целевых машинах прописываются открытый ключ на допуск. или нет ??.

pfg ★★★★★
()

Тоже интересно какой-нибудь менеджмент для ключей иметь, навроде PKI.

Сейчас у меня ключей не так много и публичные храню в гите и разворачиваю их ансиблом.

skyman ★★★
()
Ответ на: комментарий от atel

мнэээээ… 50 оттенков нетрадиционного админства….

в каждую машину каждому пользователю, под которым надо войти, в ~/.ssh/authorized_keys прописываешь ключ машины, с которой заходишь.
пользователя, под которым надо заходить пишешь в имени целевой машины ssh user@hostname

это кагбе стандартная функциональность…

pfg ★★★★★
()

40 пар? А какой сценарий, своя пара для каждой целевой системы?

Имхо следует просто поменять подход, например использовать по уникальной паре для каждой системы откуда возможно подключение или вовсе одну пару, если уверен в сохранности ключа.

ssh2 ★★★★★
()

Не вижу в этом смысла. У меня ключ один на каждый компьютер, а компьютеров у меня всего 4 штуки.

Legioner ★★★★★
()
Ответ на: комментарий от pfg

Если ключ скомпрометирован, заходить на каждую машину изменять? Как осуществлять ротацию ключей, допустим ключ только на пол года.

atel
() автор топика
Ответ на: комментарий от atel

скрипт, обходящий машины и удаляющий строчку из ~/.ssh/authorized_keys с ключом, оканчивающимся на определенный комент.
или скрипт меняющий старый ключ на новый, выборка опять же по коменту в конце строки.
для ентого собственного authorized_keys и существует.

pfg ★★★★★
()
Ответ на: комментарий от skyman

Есть такая практика, ключи в ansible vault. Вопрос в ротации ключей и удобстве их смены в случае инцидента.

atel
() автор топика
Ответ на: комментарий от atel

Если ключ скомпрометирован, заходить на каждую машину изменять?

Это как? Ключ следует использовать с пассфразой, а её вводить при старте системы или обращении к ключу и держать в голове. ;)

При таком подходе даже попадание ключа в чужие руки, даст тебе возможность заменить публичную часть ключа, на всех уязвимых системах.

ssh2 ★★★★★
()
Ответ на: комментарий от ssh2

Опять увольнение сотрудника, надо менять ключ и пасс фразу и пройтись по всем серверам и раздать новый ключ и пасс фразу другим сотрудникам.

atel
() автор топика
Ответ на: комментарий от atel

если тяжело делать скрипт, то можешь держать у себя мастер-файл authorized_keys и реплицировать его на все целевые машины.

pfg ★★★★★
()
Ответ на: комментарий от atel

Если у тебя на компе хранятся 50 ключей, то скомпрометироваться они могут только все сразу, так что менять придётся всё равно все.

firkax ★★★★★
()
Ответ на: комментарий от atel

Я практически уверен, проблема вызвана неверным подходом к задаче. :)

ssh2 ★★★★★
()
Ответ на: комментарий от Pinkbyte

Я как раз на этом варианте остановился. Можно подробнее как это реализуется? Возможно использовать только AD?

atel
() автор топика
Ответ на: комментарий от ssh2

На каждый сервер идет 2 пары. 40 это как пример, а не утверждение.

  1. Пробовал разделение по dev,satage и тд серверам, каждый сервер 2 пары. Этот вариант хорош, нету много ключей. Но тогда ключи от одного dev подходит для другого, что не желательно.
  2. Пробовал на каждый сервер свой ключ пара, безопасно но получается 100500 ключей и за всеми следить тяжело.

Ищу вариант централизовано хранить ключи и осуществлять без проблемную ротацию. Сейчас смотрю в LDAP, AD и еще HASHICORP VAULT.

atel
() автор топика
Ответ на: комментарий от atel

ssh сертификаты. Но это посложнее чем ssh ключи будет. Вряд-ли ты осилишь, если даже с простыми ssh ключами ты такие финты вытворяешь.

rupert ★★★★★
()
Ответ на: комментарий от atel

Пробовал разделение по dev,satage и тд серверам, каждый сервер 2 пары. Этот вариант хорош, нету много ключей.

Это единственный нормальный вариант. Лучше только когда у тебя в принципе у каждого пользователя свой отдельный ключ и доступ управляется через CMS.

Но тогда ключи от одного dev подходит для другого, что не желательно.

Почему?

Ищу вариант централизовано хранить ключи и осуществлять без проблемную ротацию. Сейчас смотрю в LDAP, AD и еще HASHICORP VAULT.

puppet/chef/ansible

Хранение и управление это РАЗНЫЕ задачи, хоть и могут делаться в рамках одного инструмента. Ты перечислил тулы, которые могут делать только хранение.

leave ★★★★★
()
Ответ на: комментарий от MittenShmitten

Сертификат подписывается CA ключом, и в нём есть всякая дополнительная информация такая как: скрок действия, на кого распостраняется, какие действия позволяет совершать.

rupert ★★★★★
()

Для этого есть сертификаты. В этом случае можно никому ничего не рассылать, только паблик ключ AC, сертификат пользователя или хоста, ключевую пару.

AVL2 ★★★★★
()
Ответ на: комментарий от rupert

ssh сертификаты. Но это посложнее чем ssh ключи будет. Вряд-ли ты осилишь, если даже с простыми ssh ключами ты такие финты вытворяешь.

)

atel
() автор топика
Последнее исправление: atel (всего исправлений: 2)
Ответ на: комментарий от leave

Почему?

Разные команды и проекты.

puppet/chef/ansible

Согласен, ansible вполне сойдет для замены ключей.

atel
() автор топика
Последнее исправление: atel (всего исправлений: 1)

Использовать уже Identity Management, типа FreeIPA, не рассматривал? Туда каждый пользователь загружает открытую часть ключа, аутентификация на хостах по ним. При увольнении тупо блокируешь пользователя. Есть Host-Based Access Control для разделения доступов.

George
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.