administração de chave ssh para muitos usuários, servidores

8

Minha empresa possui alguns servidores remotos Ubuntu. O acesso a esses servidores é controlado por chaves ssh. Gerenciar essas chaves é uma dor, especialmente quando um funcionário sai ou entra na empresa.

Existe uma boa solução para gerenciamento central de chaves no Ubuntu?

Adão

server administration ssh Adam Matan
fonte

Respostas:

4

Panorama

O Canonical's Landscape facilita muito o gerenciamento de muitas máquinas ao mesmo tempo.

Você poderia apenas ter um armazenamento de chaves centralizado e, sob demanda, realizar alterações no arquivo known_hosts de cada máquina.

Rsync

Como alternativa, se você não quiser usar o Landscape, que tal simplesmente sincronizar os known_hosts via rsync ? Não estou tão familiarizado com todo esse negócio empresarial, mas deve funcionar muito bem.

Supondo que os computadores da empresa sejam desligados todas as noites, eu faria o seguinte:

  • Tenha em algum servidor um arquivo conhecido_hosts centralizado que você gerencia manualmente.
  • escreva um programa muito simples que, no momento da inicialização, tente buscar esse arquivo e substituir o atual
  • no lado administrativo, teste todas as alterações no arquivo mestre antes de enviá-lo, substituindo o que todos os clientes tentam acessar.

você pode usar o RCS , o favorito de um administrador de sistemas antigo, para gerenciar diferentes versões do seu arquivo mestre.

Observe que muitos administradores de sistemas dirão que centralizar as coisas é um risco à segurança e, geralmente, não é uma ótima idéia.

LDAP

Agora, eu não sou um administrador de sistemas (e, portanto, não confio nesse assunto). Você realmente deve fazer esta pergunta no serverfault

O LDAP parece surgir bastante lá em cima. Aqui estão algumas informações sobre a busca de chaves públicas SSH no LDAP e mais algumas .

Esta pergunta também pode ser do seu interesse.


Espero que isto seja útil. Como você se descobriu, gerenciar o acesso ssh em grandes configurações é realmente bastante complicado.

Stefano Palazzo
fonte
Examine a configuração LDAP e monte o $ HOME do usuário via NFS. Quando o usuário sair da empresa, exclua a conta LDAP e pronto. (usuário precisa existir antes de verificar chave ssh)
csgeek
11
Eu acho que ele quis dizer chaves autorizadas e não conhecidas, embora ambas sejam muito importantes.
SpamapS
Fiz wiki da comunidade, porque - como eu disse - não sou administrador de sistemas. Edite esta resposta para torná-la melhor.
Stefano Palazzo
Como você faz isso com o Landscape? Não vejo a opção.
vcardillo
1

É possível usar autoridades de certificação e revogar marcadores no arquivo "hosts conhecidos". Outra opção é provavelmente usar algum método de autenticação PAM "corporativo".

JanC
fonte
2
Um link seria extremamente útil.
quer