Sistema de gerenciamento de chaves SSH

8

Eu estou olhando para mudar do sistema baseado em senha (com o qual estou começando a ficar sobrecarregado) para o sistema baseado em chaves SSH.

Gostaria de saber se existe algum sistema de gerenciamento de chaves SSH ou solução de servidor que me permita distribuir e revogar chaves em máquinas?

Ou a melhor abordagem é usar o Puppet para esta tarefa? Se sim, então a abordagem de um par de chaves único por máquina cliente (descrita aqui: Melhor sistema para gerenciar chaves ssh? ) Seria a melhor?

ssh puppet keys SyRenity
fonte

Respostas:

3

Sim, o Puppet é o caminho certo para fazer isso e, a partir dessa outra pergunta, a opção 3 parece ser a mais sensata (além de ser a resposta aceita [sempre um bom sinal!]).

Existe um módulo ssh_key para fantoches, o que torna a coisa toda trivialmente fácil.

Tom O'Connor
fonte
Você pode me apontar para este módulo? Além disso, no caso de um cliente ficar comprometido (laptop roubado, por exemplo), posso desativar facilmente essa chave pública? E posso adicionar facilmente novas chaves?
SyRenity
11
Sim, é fácil adicionar e remover chaves centralmente, embora praticamente falando todos os módulos de gerenciamento de chaves SSH publicamente disponíveis para marionetes sejam idiotas; é mais fácil usar diretamente um arquivo fragmentado.
Womble
Você pode explicar o que você quer dizer com arquivo fragmentado? É um arquivo armazenado centralmente ou algo assim?
SyRenity
11
Parece que me lembro de ter sido uma combinação de reductivelabs.com/trac/puppet/wiki/… e reductivelabs.com/trac/puppet/wiki/Recipes/Authorized_keys . Verificarei mais tarde qual foi exatamente.
Tom O'Connor
3

O SSH é bom, mas quando você começa a escalar para um grande número de chaves e ACLs, fica feio rapidamente.

O Kerberos foi projetado para operar nesse tipo de ambiente (muitas ACLs, revogação de chaves, etc.) O gerenciamento de usuários com o kerberos é uma dor, mas se você tiver um número muito pequeno de usuários, será bastante fácil.

chris
fonte
Obrigado, confira, as teclas SSH via Puppet parecem uma abordagem mais rápida.
SyRenity