Управление авторизованными ключами на большом количестве хостов
-
09-06-2019 - |
Вопрос
Как проще всего управлять файлом авторизованных_ключей для openssh на большом количестве хостов?Если мне нужно добавить или отозвать новый ключ к учетной записи, скажем, на 10 хостах, я должен войти в систему и добавить открытый ключ вручную или с помощью неуклюжего сценария оболочки, что отнимает много времени.
В идеале должна быть центральная база данных, связывающая ключи с учетными записями@машинами с некоторой поддержкой группировки (например, добавьте этот ключ к имени пользователя X на всех серверах в веб-категории).Существует форк SSH с поддержкой ldap, но я бы предпочел использовать основные пакеты SSH.
Решение
я бы проверил Обезьянья сфера проект.Он использует концепцию сети доверия OpenPGP для управления файлами авторизованных ключей и известных хостов ssh без необходимости внесения изменений в клиент или сервер ssh.
Другие советы
Я использую Puppet для многих вещей, включая эту.(с использованием типа ресурса ssh_authorized_key)
Я всегда делал это, поддерживая «главное» дерево ключей разных серверов и используя rsync для обновления удаленных компьютеров.Это позволяет редактировать все в одном месте, эффективно распространять изменения и поддерживать актуальность — все редактируют основные файлы, никто не редактирует файлы на случайных хостах.
Возможно, вы захотите взглянуть на проекты, созданные для запуска команд на группах машин, например Func at https://fedorahosted.org/func или другие пакеты управления конфигурацией сервера.
Рассматривали ли вы возможность использования Clusterssh (или аналогичного) для автоматизации передачи файлов?Другой вариант – один из централизованных системы конфигурации.
/Аллан