对许多用户,服务器进行ssh密钥管理

8

我公司有一些远程Ubuntu服务器。对这些服务器的访问由ssh密钥控制。管理这些密钥非常麻烦,尤其是当员工离开或加入公司时。

在Ubuntu上进行中央密钥管理是否有好的解决方案?

亚当

server  administration  ssh 
亚当·马坦(Adam Matan)
source

Answers:

4

景观

Canonical的Landscape使得一次管理多台机器非常容易。

您可以只拥有一个集中的密钥存储,并根据需要将更改推送到每台计算机的known_hosts文件中。

同步

另外,如果您不想使用Landscape,如何通过rsync简单地同步known_hosts?我对所有这种企业事务不是很熟悉,但是它应该工作得很好。

假设公司的计算机每天晚上关闭,我将这样做:

  • 在某些服务器上具有您手动管理的集中的known_hosts文件。
  • 编写一个非常简单的程序,在启动时尝试获取该文件并替换当前文件
  • 在管理方面,将所有更改更改为主文件,然后将其推出,只需替换所有客户端尝试访问的文件即可。

您可以使用RCS(旧的sysadmin的最爱)来管理主文件的不同版本。

请注意,许多系统管理员会告诉您,集中事物会带来安全风险,通常不是一个好主意。

LDAP

现在,我不是系统管理员(因此在这个问题上不值得信任)。您真的应该在serverfault上问这个问题

LDAP似乎很多。这是有关从LDAP提取SSH公共密钥一些信息还有更多信息

这个问题也可能是你的兴趣。


我希望这是有帮助的。如您所知,在大型设置中管理ssh访问确实非常复杂。

Stefano Palazzo
source
研究设置LDAP,然后通过NFS挂载用户的$ HOME。用户离开公司后,删除其LDAP帐户即可完成操作。(用户需要在验证ssh密钥之前存在)
csgeek 2010年
1
我认为他的意思是authorized_keys不是known_hosts,尽管两者都很重要。
SpamapS
使其成为社区Wiki,因为-正如我所说-我不是系统管理员。编辑此答案以使其更好。
Stefano Palazzo
您如何使用Landscape做到这一点?我看不到该选项。
vcardillo 2015年
1

可以使用证书颁发机构并撤消“已知主机”文件中的标记。另一种选择可能是改为使用某些“企业” PAM身份验证方法。

JanC
source
2
链接将非常有用。
亚当·马坦
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.