我负责实现类似这样的事情:
我们是一家新兴创业公司,发展速度非常快。我们的开发团队几乎每个月都会增加 3-5 名开发人员。我们的基础设施现在由大约 20 个 ubuntu 网络服务器和几个门户软件系统组成,这些系统运行基于 php 的应用程序(如 wordpress、joomla 等)或基于 spring 的后端技术(java)。
我们现在大约有 35 名开发人员,从事 wordpress、joomla(门户)或后端工作。
像往常一样,有时有人离开,我们就必须更改他知道的所有密码。
我想要另一种方式:
每个开发人员都会获得一个证书来登录服务器。如果有人退出,我们可以轻松撤销相应的密钥,他将再也无法访问服务器。
是否有任何软件可以管理这些证书,例如将其复制到所有服务器?
谢谢你的帮助!
答案1
有很多方法可以实现这一点:
首先,您可以使用一些目录服务,例如 OpenLDAP(类似于 Windows Active Directory)。只是不要使用任何本地帐户,并在人员离开时阻止 ldap 帐户。我不确定 ldap 是否可以处理 ssh 密钥,但它可以轻松处理用户帐户(用户名+密码+组)。
其次,您可以使用一些配置管理工具,如 puppet、cfengine、chef 或类似的工具。
最后,我认为对于“普通”开发人员来说,最好避免在实时机器上拥有帐户。最好有类似构建/部署机器的东西,并使用不同的工具进行部署/监控/等,这样就不需要每个开发人员在每台机器上都有帐户。
附言:我认为您现在该考虑聘请运营人员了。