SSH-Schlüsselverwaltung für viele Benutzer, Server

8

Meine Firma hat einige Remote-Ubuntu-Server. Der Zugriff auf diese Server wird über SSH-Schlüssel gesteuert. Die Verwaltung dieser Schlüssel ist sehr schwierig, insbesondere wenn ein Mitarbeiter das Unternehmen verlässt oder in das Unternehmen eintritt.

Gibt es eine gute Lösung für die zentrale Schlüsselverwaltung unter Ubuntu?

Adam

server administration ssh Adam Matan
quelle

Antworten:

4

Landschaft

Die Landschaft von Canonical macht es sehr einfach, viele Maschinen gleichzeitig zu verwalten.

Sie könnten einfach einen zentralen Schlüsselspeicher haben und bei Bedarf Änderungen an der Datei "unknown_hosts" jedes Computers vornehmen.

Rsync

Wenn Sie Landscape nicht verwenden möchten, können Sie die bekannten Hosts auch einfach über rsync synchronisieren . Ich bin mit all dem Geschäft mit Unternehmern nicht allzu vertraut, aber es sollte sehr gut funktionieren.

Angenommen, die Computer des Unternehmens werden jede Nacht heruntergefahren, würde ich Folgendes tun:

  • Haben Sie auf einem Server eine zentralisierte Datei "unknown_hosts", die Sie manuell verwalten.
  • Schreiben Sie ein sehr einfaches Programm, das beim Booten versucht, diese Datei abzurufen und die aktuelle zu ersetzen
  • Testen Sie auf der administrativen Seite alle Änderungen an der Master-Datei, bevor Sie sie veröffentlichen. Ersetzen Sie dazu einfach die Datei, auf die alle Clients zugreifen möchten.

Sie können RCS , den Favoriten eines alten Systemadministrators, verwenden, um verschiedene Versionen Ihrer Master-Datei zu verwalten.

Beachten Sie, dass viele Systemadministratoren Ihnen sagen, dass die Zentralisierung von Dingen ein Sicherheitsrisiko darstellt und im Allgemeinen keine gute Idee ist.

LDAP

Jetzt bin ich kein Systemadministrator (und daher in dieser Angelegenheit nicht zu vertrauen). Sie sollten diese Frage wirklich bei Serverfault stellen

LDAP scheint dort ziemlich viel zu kommen. Hier finden Sie einige Informationen zum Abrufen von öffentlichen SSH-Schlüsseln aus LDAP sowie weitere Informationen .

Diese Frage könnte Sie auch interessieren.


Ich hoffe das ist hilfreich. Wie Sie selbst festgestellt haben, ist die Verwaltung des SSH-Zugriffs in großen Setups sehr kompliziert.

Stefano Palazzo
quelle
Sehen Sie sich die Einstellung von LDAP an und mounten Sie das $ HOME des Benutzers über NFS. Wenn der Benutzer das Unternehmen verlässt, löschen Sie sein LDAP-Konto und Sie sind fertig. (Benutzer muss vorhanden sein, bevor der
SSH-
1
Ich denke, er meinte autorisierte Schlüssel, nicht bekannte Hosts, obwohl beide sehr wichtig sind.
SpamapS
Ich habe es zum Community-Wiki gemacht, weil ich - wie gesagt - kein Systemadministrator bin. Bearbeiten Sie diese Antwort, um sie zu verbessern.
Stefano Palazzo
Wie machst du das mit Landscape? Ich sehe die Option nicht.
Vcardillo
1

Es ist möglich, Zertifizierungsstellen zu verwenden und Markierungen in der Datei "Bekannte Hosts" zu widerrufen. Eine andere Option besteht wahrscheinlich darin, stattdessen eine "Enterprise" -PAM-Authentifizierungsmethode zu verwenden.

JanC
quelle
2
Ein Link wäre äußerst nützlich.
Adam Matan