Система управления ключами SSH

Я пытаюсь перейти с парольной системы (которую я начинаю перегружать) на систему на основе ключей SSH.

Я хотел бы знать, есть ли какая-нибудь система управления ключами SSH или серверное решение, которое позволило бы мне распределять и отзывать ключи по машинам?

Или лучший подход - использовать Puppet для этой задачи? Если да, то будет ли подход единой пары ключей для клиентского компьютера (описан здесь: Лучшая система для управления ключами SSH? ) Лучшим?

ssh puppet keys

— SyRenity
источник

Ответы:

Да, Puppet - верный способ сделать это, и из этого другого вопроса вариант 3 представляется наиболее разумным (а также принятым ответом [всегда хороший знак!]).

Есть модуль ssh_key для puppet, который упрощает все это.

— Том О'Коннор
источник

Можете ли вы указать мне на этот модуль? Кроме того, в случае взлома одного клиента (например, кражи ноутбука) я могу легко отключить этот открытый ключ? И я могу легко добавить новые ключи?

— SyRenity

Да, легко добавлять и удалять ключи централизованно, хотя практически каждый публично доступный модуль управления ключами SSH для puppet - это задница; проще просто использовать фрагментированный файл напрямую.

— womble

Можете ли вы объяснить, что вы подразумеваете под фрагментированным файлом? Это центрально хранящийся файл или что-то?

— SyRenity

Кажется, я помню, что это была комбинация reductivelabs.com/trac/puppet/wiki/… и reductivelabs.com/trac/puppet/wiki/Recipes/Authorized_keys, позже я проверю, что именно.

— Том О'Коннор

SSH хорош, но когда вы начинаете масштабировать до большого количества ключей и ACL, он становится ужасно быстрым.

Kerberos был разработан для работы в такой среде (множество списков ACL, отзыв ключей и т. Д.). Управление пользователями с помощью Kerberos - это боль, но если у вас очень небольшое количество пользователей, это довольно просто.

— Крис
источник

Спасибо, проверим, мысли SSH-ключей через Puppet звучат как более быстрый подход.

— SyRenity