SSH-Schlüsselverwaltungssystem

8

Ich möchte von einem passwortbasierten System (mit dem ich langsam überfordert bin) zu einem auf SSH-Schlüsseln basierenden System wechseln.

Ich würde gerne wissen, ob es ein SSH-Schlüsselverwaltungssystem oder eine Serverlösung gibt, mit der ich Schlüssel über Maschinen verteilen und widerrufen kann.

Oder ist der beste Ansatz, Puppet für diese Aufgabe zu verwenden? Wenn ja, wäre dann der Ansatz eines einzelnen Schlüsselpaars pro Client-Computer (hier beschrieben: Bestes System zur Verwaltung von SSH-Schlüsseln? ) Der beste?

ssh puppet keys SyRenity
quelle

Antworten:

3

Ja, Puppet ist der richtige Weg, und von dieser anderen Frage aus scheint Option 3 die vernünftigste zu sein (und auch die akzeptierte Antwort zu sein [immer ein gutes Zeichen!]).

Es gibt ein ssh_key-Modul für Puppet, das das Ganze ganz einfach macht.

Tom O'Connor
quelle
Können Sie mich auf dieses Modul verweisen? Auch wenn ein Client kompromittiert wird (z. B. gestohlener Laptop), kann ich diesen öffentlichen Schlüssel einfach deaktivieren? Und ich kann einfach neue Schlüssel hinzufügen?
SyRenity
1
Ja, es ist einfach, Schlüssel zentral hinzuzufügen und zu entfernen, obwohl praktisch jedes öffentlich verfügbare SSH-Schlüsselverwaltungsmodul für Puppet Arsch ist; Es ist einfacher, eine fragmentierte Datei direkt zu verwenden.
womble
Können Sie erklären, was Sie unter fragmentierter Datei verstehen? Ist es eine zentral gespeicherte Datei oder so?
SyRenity
1
Ich erinnere mich an eine Kombination aus reductivelabs.com/trac/puppet/wiki/… und reductivelabs.com/trac/puppet/wiki/Recipes/Authorized_keys. Ich werde später überprüfen, welche es genau war.
Tom O'Connor
3

SSH ist nett, aber wenn Sie anfangen, auf eine große Anzahl von Schlüsseln und ACLs zu skalieren, wird es schnell hässlich.

Kerberos wurde für den Betrieb in dieser Art von Umgebung entwickelt (viele ACLs, Schlüsselentzug usw.). Die Benutzerverwaltung mit Kerberos ist ein Problem, aber wenn Sie nur eine sehr kleine Anzahl von Benutzern haben, ist dies ziemlich einfach.

chris
quelle
Danke, werde es überprüfen, dachte SSH-Schlüssel über Puppet klingt als schneller Ansatz.
SyRenity