it-swarm.com.de

SSH-Schlüsselverwaltung für viele Benutzer, Server

Meine Firma hat einige entfernte Ubuntu-Server. Der Zugriff auf diese Server wird über SSH-Schlüssel gesteuert. Das Verwalten dieser Schlüssel ist ziemlich mühsam, insbesondere wenn ein Mitarbeiter das Unternehmen verlässt oder sich dem Unternehmen anschließt.

Gibt es eine gute Lösung für die zentrale Schlüsselverwaltung unter Ubuntu?

Adam

8
Adam Matan

Landscape

Canonicals Landscape macht es sehr einfach, viele Maschinen gleichzeitig zu verwalten.

Sie könnten einfach einen zentralen Schlüsselspeicher einrichten und bei Bedarf Änderungen an der Datei known_hosts jeder Maschine vornehmen.

Rsync

Wenn Sie Landscape nicht verwenden möchten, können Sie auch einfach Synchronisieren der known_hosts über rsync ? Ich kenne mich mit diesem ganzen Unterhaltungsgeschäft nicht so gut aus, aber es sollte sehr gut funktionieren.

Unter der Annahme, dass die Computer des Unternehmens jede Nacht heruntergefahren werden, würde ich Folgendes tun:

  • Haben Sie auf einem Server eine zentralisierte Datei known_hosts, die Sie manuell verwalten.
  • schreiben Sie ein sehr einfaches Programm, das beim Booten versucht, diese Datei abzurufen und die aktuelle zu ersetzen
  • testen Sie auf der administrativen Seite alle Änderungen an der Master-Datei, bevor Sie sie veröffentlichen. Ersetzen Sie dazu einfach die Datei, auf die alle Clients zugreifen möchten.

sie können RCS , den Favoriten eines alten Systemadministrators, verwenden, um verschiedene Versionen Ihrer Master-Datei zu verwalten.

Beachten Sie, dass viele Sysadmins Ihnen mitteilen, dass Zentralisieren von Dingen ein Sicherheitsrisiko darstellt und im Allgemeinen keine gute Idee ist.

LDAP

Jetzt bin ich kein Sysadmin (und daher in dieser Angelegenheit nicht vertrauenswürdig). Sie sollten diese Frage wirklich auf serverfault stellen

LDAP scheint dort ziemlich weit oben zu sein. Hier finden Sie ein paar Informationen zum Abrufen von SSH Public Keys aus LDAP und hier einige weitere .

Diese Frage könnte Sie auch interessieren.


Ich hoffe das ist hilfreich. Wie Sie selbst festgestellt haben, ist die Verwaltung des SSH-Zugriffs in großen Setups sehr kompliziert.

4
Stefano Palazzo

Es ist möglich, Zertifizierungsstellen zu verwenden und Markierungen in der Datei "Bekannte Hosts" zu widerrufen. Eine andere Möglichkeit ist wahrscheinlich, stattdessen eine "Enterprise" -PAM-Authentifizierungsmethode zu verwenden.

1
JanC