Administrar claves_autorizadas en una gran cantidad de hosts
https://stackoverflow.com/questions/74443
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Cuál es la forma más sencilla de administrar el archivo autorizado_keys para openssh en una gran cantidad de hosts?Si necesito agregar o revocar una nueva clave a una cuenta en 10 hosts, por ejemplo, debo iniciar sesión y agregar la clave pública manualmente o mediante un torpe script de shell, lo cual lleva mucho tiempo.
Lo ideal sería que hubiera una base de datos central que vincule claves a cuentas@máquinas con algún tipo de soporte de agrupación (es decir, agregue esta clave al nombre de usuario X en todos los servidores de la categoría web).Hay una bifurcación de SSH con soporte ldap, pero prefiero usar los paquetes SSH principales.
Solución
Yo revisaría el monoesfera proyecto.Utiliza la red de conceptos de confianza de OpenPGP para administrar las claves_autorizadas y los archivos hosts_conocidos de ssh, sin requerir cambios en el cliente o servidor ssh.
Otros consejos
Utilizo Puppet para muchas cosas, incluida esta.(usando el tipo de recurso ssh_authorized_key)
Siempre he hecho esto manteniendo un árbol "maestro" de las claves de los diferentes servidores y usando rsync para actualizar las máquinas remotas.Esto le permite editar cosas en una ubicación, implementar los cambios de manera eficiente y mantener las cosas "actualizadas": todos editan los archivos maestros, nadie edita los archivos en hosts aleatorios.
Es posible que desee ver proyectos diseñados para ejecutar comandos en grupos de máquinas, como Func en https://fedorahosted.org/func u otros paquetes de gestión de configuración del servidor.
¿Has considerado usar clusterssh (o similar) para automatizar la transferencia de archivos?Otra opción es una de las centralizadas. sistemas de configuración.
/Alano
