Qual è l'approccio migliore per la gestione delle chiavi RSA su Ubuntu?

Abbiamo 2 dozzine di server e stiamo passando all'authentication RSA. Naturalmente, alcuni sviluppatori, l'IT, alcuni Execs .. ecc. Tutti mandano le chiavi, chissà where li memorizzano, chissà se impostano le passphrase, ecc. Quindi sul server non sappiamo quali utenti avere quali chiavi e, infine, quando qualcuno perde la chiave, dobbiamo andare manualmente e sostituirli, ecc.

Sono sicuro che c'è un modo migliore.

A parte un prodotto commerciale non ho trovato una facile gestione delle chiavi.

Quali sono i modi consigliati per farlo?

  • inoltro di port ssh per utente
  • Aggiunta di un nuovo utente in linux da uno script
  • Sapere di un trucco per sostenere le connessioni ssh silenziose dai disinserimenti automatici del firewall?
  • Come faccio a sapere se la mia casella Linux è stata infiltrata?
  • Shell interattivo basato su SSH e UDP
  • Le connessioni a SSH e Samba subiscono un forte ritardo
  • Perché l'inoltro dell'agente ssh non funziona?
  • SFTP non funziona, ma SSH è
  • 2 Solutions collect form web for “Qual è l'approccio migliore per la gestione delle chiavi RSA su Ubuntu?”

    Noi gestiamo tutta la nostra chiave utilizzando il Puppet. Ogni chiave ha un commento che identifica il dipendente per nome, e quando qualcuno perde loro, o se ne va, o qualunque altro, abbiamo appena aggiornato il manifesto e il burattino si prende cura di eliminare il vecchio e aggiungendo il nuovo.

    Ti capisco molto bene. Quando ho implementato l'authentication RSA per accedere ai nostri server solo per gli sviluppatori ho avuto un giorno veramente brutto. Infatti la maggior parte degli utenti ordinari mi odiano ancora per "password molto criptiche". Non posso fare subito questo lavoro, ma forse alcune note regolari sulla sicurezza daranno dei risultati e gli utenti capiranno perché questo è necessario.

    Non è ansible fare molto sui computer degli utenti. In realtà, se si dispone di diritti amministrativi nei computer dell'ufficio, è ansible eseguire alcuni controlli per i routes di chiavi SSH predefiniti, controllare gli ssh-agenti in esecuzione, le password chiave, la lettura di .ssh/config per raccogliere informazioni aggiuntive. Ma se la chiave viene memorizzata altrove, non sarai in grado di fare molto.

    Si diceva da qualche parte che si dovrebbe fidare, ma controllare in questa situazione. Questo significa per lo più che puoi controllare a volte come l'utente accede al server e consultarlo perché è necessario utilizzare una password per proteggere la chiave privata, ecc.

    Per quanto riguarda la parte del server, sto immagazzinando le chiavi pubbliche di tutti gli utenti nel database LDAP e sto utilizzando un server SSH patchato per get chiavi pubbliche da LDAP. La patch viene chiamata LPK e non deve essere configurata con authentication / authorization LDAP PAM. La sua home page è http://code.google.com/p/openssh-lpk/ . Ricostruisco appena il pacchetto debian con questa patch (a volte un po 'modificandolo per adattarlo bene) e immagazzinerò nel repositroy locale della nostra azienda che ha priorità alta. LDAP è disponibile per memorizzare più chiavi utente e se qualche chiave è compromise o persa, ho appena rimosso la sua parte pubblica dal server LDAP.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.