我曾经在通常的做法是能够在所有服务器之间移动,使用SSH作为pipe理员而不需要密码。 通常有几台服务器,从本质上讲,它们被认为是更安全的(没有暴露在networking等),从那里你可以login到其他人没有密码。 反之亦然 – 你需要密码/其他访问控制机制。
从安全的angular度来看,我对第一个scheme有强烈的反对意见。 虽然这组服务器可以被认为更安全,但这显然是有争议的。 但是我有几个主张这个的同事,我不得不承认这非常方便。 无论如何,如果攻击者可以在一台机器上获得root权限,它基本上“拥有”整个系统。
我对安全性太严格了吗?
这有点依赖于环境。 没有直接互联网访问的防火墙和ACL环境,例如HPC计算农场,当然可以使用这种types的操作,以方便使用。 我已经看到,在芯片devise环境中,这种情况有很大的节点和相当小的pipe理干部。 当需要在整个计算集群中解决问题时,它可以提供出色的灵活性和快速响应。
我见过的另一个环境是允许从一组定义的主机(堡垒主机)中获得基于密钥的根SSH,这些主机受到非常严格的保护和监视。 允许密钥使用的机制是在这些堡垒主机上为root用户运行ssh-key密码和ssh-agent。 目标主机被configuration为仅允许来自具有该特定密钥的那些主机的根ssh。 validation到超级用户级别并input密钥的密码以将其加载到代理中。 那你就去比赛了
所以可以安全地完成。 你只需要select什么和你在哪里允许曝光。