Gestione delle chiavi_autorizzate su un numero elevato di host
https://stackoverflow.com/questions/74443
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Qual è il modo più semplice per gestire il file Authorized_keys per openssh su un numero elevato di host?Se devo aggiungere o revocare una nuova chiave a un account su 10 host, ad esempio, devo accedere e aggiungere la chiave pubblica manualmente o tramite un goffo script di shell, il che richiede molto tempo.
Idealmente ci sarebbe un database centrale che collega le chiavi ad account@macchine con una sorta di supporto per il raggruppamento (IE, aggiungi questa chiave al nome utente X su tutti i server nella categoria web).Esiste un fork di SSH con supporto ldap, ma preferirei utilizzare i pacchetti SSH principali.
Soluzione
Farei il check-out Monkeysfera progetto.Utilizza i concetti di rete di fiducia di OpenPGP per gestire i file Authorized_Keys e Known_Hosts di ssh, senza richiedere modifiche al client o al server ssh.
Altri suggerimenti
Uso Puppet per molte cose, incluso questo.(utilizzando il tipo di risorsa ssh_authorized_key)
L'ho sempre fatto mantenendo un albero "master" delle chiavi dei diversi server e utilizzando rsync per aggiornare le macchine remote.Ciò ti consente di modificare le cose in un'unica posizione, applicare le modifiche in modo efficiente e mantenere le cose "aggiornate": tutti modificano i file principali, nessuno modifica i file su host casuali.
Potresti voler esaminare progetti creati per eseguire comandi su gruppi di macchine, come Func at https://fedorahosted.org/func o altri pacchetti di gestione della configurazione del server.
Hai considerato l'utilizzo di clusterssh (o simili) per automatizzare il trasferimento dei file?Un'altra opzione è quella centralizzata sistemi di configurazione.
/Allan
