Sistema de gestión de claves SSH

8

Estoy buscando cambiar del sistema basado en contraseña (que me está abrumando) al sistema basado en claves SSH.

Me gustaría saber si hay algún sistema de administración de claves SSH o solución de servidor, que me permitiría distribuir y revocar claves en máquinas.

¿O el mejor enfoque es usar Puppet para esta tarea? En caso afirmativo, ¿sería el enfoque de un solo par de claves por máquina cliente (descrito aquí: ¿El mejor sistema para administrar claves ssh? ) ¿ Sería el mejor?

ssh puppet keys SyRenity
fuente

Respuestas:

3

Sí, Puppet es la forma correcta de hacer esto, y de esa otra pregunta, la Opción 3 parece ser la más sensata (además de ser la respuesta aceptada [¡siempre es una buena señal!]).

Hay un módulo ssh_key para puppet que hace que todo sea trivialmente fácil.

Tom O'Connor
fuente
¿Me puede indicar este módulo? Además, en caso de que un cliente se vea comprometido (robo de una computadora portátil, por ejemplo), ¿puedo desactivar fácilmente esta clave pública? ¿Y puedo agregar fácilmente nuevas claves?
SyRenity
1
Sí, es fácil agregar y eliminar claves de forma centralizada, aunque prácticamente todos los módulos de gestión de claves SSH disponibles para el público son títeres; es más fácil usar un archivo fragmentado directamente.
womble
¿Puedes explicar qué quieres decir con archivo fragmentado? ¿Es un archivo almacenado centralmente o algo así?
SyRenity
1
Me parece recordar que es una combinación de reductivelabs.com/trac/puppet/wiki/… y reductivelabs.com/trac/puppet/wiki/Recipes/Authorized_keys Comprobaré más adelante cuál fue exactamente.
Tom O'Connor
3

SSH es bueno, pero cuando comienzas a escalar a un gran número de claves y ACL, se pone feo rápidamente.

Kerberos fue diseñado para operar en este tipo de entorno (muchas ACL, revocación de claves, etc.) La administración de usuarios con kerberos es una molestia, pero si tiene un número muy pequeño de usuarios, es bastante fácil.

Chris
fuente
Gracias, lo comprobarán, pensé que las teclas SSH a través de Puppet suenan como un enfoque más rápido.
SyRenity