我的公司有一些远程 Ubuntu 服务器。这些服务器的访问由 ssh 密钥控制。管理这些密钥非常麻烦,尤其是当员工离职或加入公司时。
Ubuntu 上有没有一个好的解决方案可以进行中央密钥管理?
亚当
答案1
景观
Canonical 的前景可以非常轻松地同时管理多台机器。
您可以拥有一个集中式密钥存储,并根据需要将更改推送到每台机器的 known_hosts 文件。
Rsync
或者,如果你不想使用景观,那么通过 rsync 同步 known_hosts? 我对这些企业业务不是很熟悉,但它应该会运行得很好。
假设公司的计算机每晚都关闭,我会这样做:
- 在某些服务器上有一个您手动管理的集中式known_hosts文件。
- 编写一个非常简单的程序,在启动时尝试获取该文件并替换当前文件
- 在管理方面,在推出主文件之前,要测试所有更改,只需替换所有客户端尝试访问的那个即可。
你可以使用雷达反射截面,老系统管理员的最爱,用于管理主文件的不同版本。
请注意,许多系统管理员会告诉你集中事物存在安全风险,通常不是一个好主意。
LDAP
现在,我不是系统管理员(因此在这件事上不值得信任)。你真的应该在服务器故障
LDAP 似乎经常出现在那里。以下是有关获取的一些信息来自 LDAP 的 SSH 公钥,下面是多一点。
这个问题您也许会感兴趣。
我希望这能有所帮助。正如你自己发现的,在大型设置中管理 ssh 访问确实非常复杂。
答案2
可以使用“已知主机”文件中的认证机构和撤销标记。另一个选择可能是使用一些“企业”PAM 身份验证方法。