Gerenciando chaves_autorizadas em um grande número de hosts
https://stackoverflow.com/questions/74443
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Qual é a maneira mais fácil de gerenciar o arquivoauthorized_keys para openssh em um grande número de hosts?Se eu precisar adicionar ou revogar uma nova chave para uma conta em 10 hosts, por exemplo, devo fazer login e adicionar a chave pública manualmente ou por meio de um script de shell desajeitado, o que consome muito tempo.
Idealmente, haveria um banco de dados central ligando chaves para contas@máquinas com algum tipo de suporte de agrupamento (ou seja, adicione esta chave ao nome de usuário X em todos os servidores na categoria web).Há um fork do SSH com suporte ao ldap, mas prefiro usar os pacotes SSH da linha principal.
Solução
eu daria uma olhada no Macacosfera projeto.Ele usa os conceitos de web de confiança do OpenPGP para gerenciar os arquivos autorizados_keys eknown_hosts do ssh, sem exigir alterações no cliente ou servidor ssh.
Outras dicas
Eu uso o Puppet para muitas coisas, inclusive isso.(usando o tipo de recurso ssh_authorized_key)
Sempre fiz isso mantendo uma árvore "mestre" das chaves dos diferentes servidores e usando o rsync para atualizar as máquinas remotas.Isso permite editar coisas em um único local, enviar as alterações com eficiência e manter as coisas "atualizadas" - todos editam os arquivos mestres, ninguém edita os arquivos em hosts aleatórios.
Você pode querer dar uma olhada em projetos feitos para executar comandos em grupos de máquinas, como Func em https://fedorahosted.org/func ou outros pacotes de gerenciamento de configuração de servidor.
Você já pensou em usar clusterssh (ou similar) para automatizar a transferência de arquivos?Outra opção é uma das centralizadas sistemas de configuração.
/Allan
