我想允许用户'devel'以用户'devel'的身份使用公钥login到任何其他服务器。 这个用户不是一个人,而是一个只有脚本的帐户。 我怎样才能做到这一点? 木偶是正确的吗? 每个源服务器如何收到必要的密钥材料? 我非常清楚私钥和公钥是如何用于SSHvalidation以及私钥的机密性的。
假设有100台服务器,私钥和公钥需要每90天更换一次。
这看起来像是Hashicorp的Vault的一个可能的用例。
SSH后端允许两种操作模式:
一次性密码,需要在每个服务器上安装一个帮助器组件来validationVault用户 – 事先客户端通过API查询Vault,并且每次访问都会发出一个新的密码
dynamic密钥 – 基本上是为服务器生成密钥对,为客户端发布私钥并在服务器上安装公钥服务器的代理服务器(您需要将此Vault的“永久”SSH密钥分发给服务器,但是可以设置发给客户端的密钥到期 – 当密钥对过期时,保险柜将相应的公钥从服务器中删除
这两种方法都可以为脚本自动执行。 他们仍然需要使用Vault进行身份validation,但是您有一个单一的控制点。