SSH KEY менеджмент

мнэээ откуда 40 ключей, сколь помню ключ на компе один, а на целевых машинах прописываются открытый ключ на допуск. или нет ??.

Каждый сервер имеет свой ключ + несколько пользователей на сервере.

Тоже интересно какой-нибудь менеджмент для ключей иметь, навроде PKI.

Сейчас у меня ключей не так много и публичные храню в гите и разворачиваю их ансиблом.

мнэээээ… 50 оттенков нетрадиционного админства….

в каждую машину каждому пользователю, под которым надо войти, в ~/.ssh/authorized_keys прописываешь ключ машины, с которой заходишь.
пользователя, под которым надо заходить пишешь в имени целевой машины ssh user@hostname

это кагбе стандартная функциональность…

40 пар? А какой сценарий, своя пара для каждой целевой системы?

Имхо следует просто поменять подход, например использовать по уникальной паре для каждой системы откуда возможно подключение или вовсе одну пару, если уверен в сохранности ключа.

Не вижу в этом смысла. У меня ключ один на каждый компьютер, а компьютеров у меня всего 4 штуки.

Если ключ скомпрометирован, заходить на каждую машину изменять? Как осуществлять ротацию ключей, допустим ключ только на пол года.

скрипт, обходящий машины и удаляющий строчку из ~/.ssh/authorized_keys с ключом, оканчивающимся на определенный комент.
или скрипт меняющий старый ключ на новый, выборка опять же по коменту в конце строки.
для ентого собственного authorized_keys и существует.

Есть такая практика, ключи в ansible vault. Вопрос в ротации ключей и удобстве их смены в случае инцидента.

Если ключ скомпрометирован, заходить на каждую машину изменять?

Это как? Ключ следует использовать с пассфразой, а её вводить при старте системы или обращении к ключу и держать в голове. ;)

При таком подходе даже попадание ключа в чужие руки, даст тебе возможность заменить публичную часть ключа, на всех уязвимых системах.

Опять увольнение сотрудника, надо менять ключ и пасс фразу и пройтись по всем серверам и раздать новый ключ и пасс фразу другим сотрудникам.

если тяжело делать скрипт, то можешь держать у себя мастер-файл authorized_keys и реплицировать его на все целевые машины.

Если у тебя на компе хранятся 50 ключей, то скомпрометироваться они могут только все сразу, так что менять придётся всё равно все.

Если ключ скомпрометирован, заходить на каждую машину изменять?

Ключи можно хранить в LDAP, внезапно

Я практически уверен, проблема вызвана неверным подходом к задаче. :)

Я как раз на этом варианте остановился. Можно подробнее как это реализуется? Возможно использовать только AD?

Можно подробнее как это реализуется?

я использую связку OpenLDAP и ssh-ldap-pubkey (на каждом SSH-сервере)

На каждый сервер идет 2 пары. 40 это как пример, а не утверждение.

1. Пробовал разделение по dev,satage и тд серверам, каждый сервер 2 пары. Этот вариант хорош, нету много ключей. Но тогда ключи от одного dev подходит для другого, что не желательно.
2. Пробовал на каждый сервер свой ключ пара, безопасно но получается 100500 ключей и за всеми следить тяжело.

Ищу вариант централизовано хранить ключи и осуществлять без проблемную ротацию. Сейчас смотрю в LDAP, AD и еще HASHICORP VAULT.

Спасибо, будем пробовать.

ssh сертификаты. Но это посложнее чем ssh ключи будет. Вряд-ли ты осилишь, если даже с простыми ssh ключами ты такие финты вытворяешь.

А чем ключ отличается от сертификата?

Пробовал разделение по dev,satage и тд серверам, каждый сервер 2 пары. Этот вариант хорош, нету много ключей.

Это единственный нормальный вариант. Лучше только когда у тебя в принципе у каждого пользователя свой отдельный ключ и доступ управляется через CMS.

Но тогда ключи от одного dev подходит для другого, что не желательно.

Почему?

Ищу вариант централизовано хранить ключи и осуществлять без проблемную ротацию. Сейчас смотрю в LDAP, AD и еще HASHICORP VAULT.

puppet/chef/ansible

Хранение и управление это РАЗНЫЕ задачи, хоть и могут делаться в рамках одного инструмента. Ты перечислил тулы, которые могут делать только хранение.

Сертификат подписывается CA ключом, и в нём есть всякая дополнительная информация такая как: скрок действия, на кого распостраняется, какие действия позволяет совершать.

Для этого есть сертификаты. В этом случае можно никому ничего не рассылать, только паблик ключ AC, сертификат пользователя или хоста, ключевую пару.

Как вариант, юзаю apache guacamole

ssh сертификаты. Но это посложнее чем ssh ключи будет. Вряд-ли ты осилишь, если даже с простыми ssh ключами ты такие финты вытворяешь.

)

Почему?

Разные команды и проекты.

puppet/chef/ansible

Согласен, ansible вполне сойдет для замены ключей.

Использовать уже Identity Management, типа FreeIPA, не рассматривал? Туда каждый пользователь загружает открытую часть ключа, аутентификация на хостах по ним. При увольнении тупо блокируешь пользователя. Есть Host-Based Access Control для разделения доступов.