Invalidare le chiavi ssh inutilizzate

Sto utilizzando un account ssh per tutti i miei utenti di Subversion. Mi mettono le chiavi pubbliche e li metto in .ssh / authorized_key del account svn, quindi potranno controllare il codice da Subversion usando tunnel ssh.

Finora tutto funziona bene. Il problema, però, è che voglio invalidare le chiavi che non sono state utilizzate per un certo tempo (ad esempio un mese). Qualcuno sa un modo per fare sshd registrare la chiave pubblica quando un utente accede?

Grazie.

3 Solutions collect form web for “Invalidare le chiavi ssh inutilizzate”

Tutto è documentato in sshd (8), sotto la sezione "AUTHORIZED_KEYS FILE FORMAT".

In .ssh / authorized_keys2 aggiungere qualcosa come environment="SSHKEY=1" all'inizio di each row, quindi dovrebbe apparire come:

 environment="SSHKEY=1" ssh-dss AAAAB3N ... environment="SSHKEY=2" ssh-rsa AAAAB3N ... 

Attivare PermitUserEnvironment opzione PermitUserEnvironment in / etc / ssh / sshd_config e riavviare sshd. Ora puoi aggiungere qualcosa come echo $SSHKEY >>.sshlog a ~ / .bashrc per registrare i tasti ssh usati.

Ma penso che sia molto facile il backup del file autorizzato_keys2, rimuovi tutte le chiavi da esso e aspetti che le persone chiamano / email / im chiedete perché svn non funziona. Quindi puoi ripristinare la chiave o chiedere loro di submit nuovamente le chiavi se non sei sicuro di quale chiave appartengo a chi. Come effetto collaterale saprai chi sta realmente lavorando. 🙂

Credo che l'ultimo registro non sarà molto utile, poiché JH dice che ha solo un account, con più utenti reali che accedono a chiavi diverse (mi chiedo perché, perderai perdere preziose informazioni sugli autori in SVN in questo modo).

Comunque, alless nei miei sisthemes (Debian / Ubuntu), sshd non registra la chiave utilizzata per l'accesso per impostazione predefinita, ma sembra che sia ansible forzarlo per farlo utilizzando "LogLevel Verbose" o qualcosa in tal senso in sshd_config. Potresti poi scrivere / utilizzare un semplice parser per i log e le chiavi di archivio utilizzati e determinare in base a quello che hai bisogno di informazioni.

Aggiungere LogLevel VERBOSE al tuo sshd_config
Potresti anche voler modificare il fatturato del tuo registro, per cui hai dei registri per l'ultimo mese.

Nota che mostrerà l'impronta digitale della chiave nel file di registro. È ansible utilizzare ssh-keygen -l per mostrare l'impronta digitale di un file di chiavi.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.