我们有二十几台服务器,我们正在转向RSAauthentication。 当然,一些开发人员,IT部门,一些执行部门等等,他们都会发送他们的密钥,谁知道他们在哪里存储他们,谁知道他们是否设置密码等。然后在服务器上,我们不知道哪些用户有哪些钥匙,最后当有人失去他们的钥匙,我们需要去手动取代他们等等…
我相信有更好的办法。
除了一个商业产品,我没有find一个简单的密钥pipe理解决scheme。
推荐的方法是什么?
我们使用Puppetpipe理我们所有的密钥。 每个钥匙都有一个评论,通过名字来标识员工,当有人失去他们或者他们离开,或者其他的时候,我们只是更新清单,木偶负责清理旧的和添加新的。
我很了解你。 当我为开发者实现RSA身份validation来访问我们的服务器时,我有一个非常讨厌的日子。 实际上大多数普通用户仍然恨我“非常神秘的密码”。 我不能马上做这个工作,但也许一些关于安全的常规笔记会给出一些结果,用户会理解为什么这是必要的。
你不能在用户的计算机上做很多事情。 实际上,如果你在办公室电脑上拥有pipe理权限,你将能够对默认的SSH密钥path进行一些检查,检查正在运行的ssh-agents,密码密码,阅读.ssh/config来收集更多的信息。 但是,如果密钥存储在其他地方,你将无法做得太多。
有人告诉你应该信任,但要检查这种情况。 这大多意味着您可以只检查用户访问服务器的方式,并咨询为什么有必要使用密码来保护私钥等。
至于服务器部分,我将所有用户的公钥存储在LDAP数据库中,并使用修补的SSH服务器从LDAP获取公钥。 该补丁称为LPK,不能与LDAP PAMauthentication/授权一起configuration。 它的主页是http://code.google.com/p/openssh-lpk/ 。 我只是用这个补丁重新构builddebian软件包(有时稍微修改它以适应),并存储到我们公司的本地优先级高的存储中。 LDAP可用于存储多个用户的密钥,如果某个密钥被泄漏或丢失,我只是从LDAP服务器中删除它的公共部分。