Invalidare le chiavi ssh inutilizzate

Sto utilizzando un account ssh per tutti i miei utenti di Subversion. Mi mettono le chiavi pubbliche e li metto in .ssh / authorized_key del account svn, quindi potranno controllare il codice da Subversion usando tunnel ssh.

Finora tutto funziona bene. Il problema, però, è che voglio invalidare le chiavi che non sono state utilizzate per un certo tempo (ad esempio un mese). Qualcuno sa un modo per fare sshd registrare la chiave pubblica quando un utente accede?

Grazie.

  • Non lavorare ssh in un VM Centos
  • Memoria automatica della chiave host del server nella cache con plink
  • Selezione dell'interface per l'inoltro della port SSH
  • RSync over SSH - l'authorization è negata anche se l'utente è nel gruppo radice
  • SSHing al mio server restituisce un errore "Questo account non è attualmente disponibile"
  • openssh: errore di chiave pubblica per un solo utente
  • SSHing tra le istanze EC2 senza wherer fornire chiave
  • Perché ottengo "Permesso negato (publickey)" quando provo a SSH da Ubuntu locale a un server Amazon EC2?
  • 3 Solutions collect form web for “Invalidare le chiavi ssh inutilizzate”

    Tutto è documentato in sshd (8), sotto la sezione "AUTHORIZED_KEYS FILE FORMAT".

    In .ssh / authorized_keys2 aggiungere qualcosa come environment="SSHKEY=1" all'inizio di each row, quindi dovrebbe apparire come:

     environment="SSHKEY=1" ssh-dss AAAAB3N ... environment="SSHKEY=2" ssh-rsa AAAAB3N ... 

    Attivare PermitUserEnvironment opzione PermitUserEnvironment in / etc / ssh / sshd_config e riavviare sshd. Ora puoi aggiungere qualcosa come echo $SSHKEY >>.sshlog a ~ / .bashrc per registrare i tasti ssh usati.

    Ma penso che sia molto facile il backup del file autorizzato_keys2, rimuovi tutte le chiavi da esso e aspetti che le persone chiamano / email / im chiedete perché svn non funziona. Quindi puoi ripristinare la chiave o chiedere loro di submit nuovamente le chiavi se non sei sicuro di quale chiave appartengo a chi. Come effetto collaterale saprai chi sta realmente lavorando. 🙂

    Credo che l'ultimo registro non sarà molto utile, poiché JH dice che ha solo un account, con più utenti reali che accedono a chiavi diverse (mi chiedo perché, perderai perdere preziose informazioni sugli autori in SVN in questo modo).

    Comunque, alless nei miei sisthemes (Debian / Ubuntu), sshd non registra la chiave utilizzata per l'accesso per impostazione predefinita, ma sembra che sia ansible forzarlo per farlo utilizzando "LogLevel Verbose" o qualcosa in tal senso in sshd_config. Potresti poi scrivere / utilizzare un semplice parser per i log e le chiavi di archivio utilizzati e determinare in base a quello che hai bisogno di informazioni.

    Aggiungere LogLevel VERBOSE al tuo sshd_config
    Potresti anche voler modificare il fatturato del tuo registro, per cui hai dei registri per l'ultimo mese.

    Nota che mostrerà l'impronta digitale della chiave nel file di registro. È ansible utilizzare ssh-keygen -l per mostrare l'impronta digitale di un file di chiavi.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.