SSH 공개 키 배포 시스템


26

여러 사람이 관리하는 다양한 시스템이 있습니다. 우리는 SSH 공개 키 인증을 사용하여 해당 시스템에 액세스하기로 선택했습니다. 관리 계정 비밀번호를 관리하거나 공유 할 필요가없고, 다양한 시스템에 대한 비밀번호를 기억할 필요가 없으며 (개인 키에 대한 암호 만) 모든 원격 명령과 상호 작용할 필요가 없으므로 (비밀번호 입력) 효과적입니다. .

문제는 시스템에 설치된 공개 키를 어떻게 든 관리해야한다는 것입니다. 사람들이 들어오고 가고, 열쇠가 훼손되고, 책임이 변경 될 수 있습니다. 현재 우리는 그것을 필요로하는 모든 계정에서 ~ / .ssh / authorized_keys 파일을 수동으로 편집하여 파일을 관리하지만 많은 작업과 실수가 발생하기 쉽습니다.

이러한 시나리오에서 공개 키를 관리 할 준비가 된 도구가 있습니까? 자신 만의 솔루션이 있습니까? 아니면 이런 방식으로 시스템을 관리한다는 아이디어가 잘못 되었습니까?


나는 실제로 당신의 질문에 대답 할 수는 없지만 그것을 읽을 때 어떤 종류의 데이터베이스 시스템에 대해 소리 지르는 소리를들을 수 있습니다.
John Gardeniers 2019

실제로 '백엔드'( '키 서버')에서 데이터베이스의 위치를 ​​볼 수 있지만 데이터베이스 액세스를 제한하고 키를 SSH 채널을 통해 배포하는 것이 좋습니다. 관리 시스템에서 다른 통신 채널을 열지 마십시오. 실제로 나는 그러한 도구 / 시스템을 스스로 구현할 수 있다고 생각하지만 준비되고 효과적인 것으로 입증 된 것을 선호합니다.
Jacek Konieczny

답변:


18

pulegium에서 이미 언급했듯이 Puppet , Chef , Bcfg2 또는 cfengine 과 같은 일반적인 구성 관리 소프트웨어 가이 작업을 수행 할 수 있습니다.

이후 의 authorized_keys 파일이 복잡하게되지 않는다는 것을, 당신은 또한 사용할 수 있습니다 rsync를 나 같은 (D) SCM 자식 또는 HG는 이 파일을 관리 할 수 있습니다. 서버 중 하나에 "마스터"파일이 있으며 rsync / git / hg /…를 통해 파일을 제공합니다. 다른 모든 서버에서 주기적으로 마스터 사본을 검색하고 (변경된 경우) 올바른 로컬 위치로 복사하는 크론 작업을 실행합니다. 심지어 순수한 HTTP 또는 FTP에서도 작동합니다.

요점은 다음과 같습니다. authorized_keys 파일의 "마스터"사본 하나를 가지고 업데이트하십시오. "클라이언트"(현재 authorized_keys 파일이 있어야하는 컴퓨터)가 마스터 서버에서이를 가져 와서 로컬로 배치하도록하십시오.


1
퍼펫을 사용하여 ~ 200 개의 Linux 서버를 관리 할 수 ​​있습니다 (펍 키는 사용자의 속성으로 적용 할 파일 일뿐입니다).
ForgeMan

1
내가 더 나아지지 않을 것 같아서이 대답을 받아 들일 것입니다. 선택은 다음과 같습니다. 1. 현재 상태 그대로 유지 2. authorized_keys 파일을 관리하기위한 자체 툴 체인 구축 3. Puppet 또는 Chef와 같은 서버 관리를 위해 기존의 일반적인 툴을 사용합니다… 이 간단한 작업. 4. 다른 인증 / 권한 부여 메커니즘 (Kerberos와 같은)을 사용하십시오. 그러나 이것은 간단한 작업을하기에는 너무 복잡한 도구입니다. 감사합니다.
Jacek Konieczny

이 시스템은 마스터 사본을 가져 오는 채널만큼 안전합니다.
yrk

1
Ansible은 ssh를 통해 인증 된 키 파일로 묶을 수있는 모듈 이있는 매우 가벼운 CM 시스템입니다.
RS

11

OpenSSH에는 LDAP 서버에서 공개 키를 사용할 수있는 패치가 있지만, 인증 / 계정 검사가 해당 LDAP 서버 (내 환경 설정 방법)에 대해서도 수행되는 경우에만 의미가 있습니다. 또한 LDAP 구성만큼 안전합니다 (따라서 SSL 및 확인 키를 사용하려고 함).

패치 및 자세한 내용 은 http://code.google.com/p/openssh-lpk/ 를 참조 하십시오. 기본적으로이 패치와 함께 제공되는 OS를 모르지만 FreeBSD를 실행하는 경우 포트에서 OpenSSH를 사용하는 경우 선택적 패치입니다.


1
또한 pam_ldap을 사용하면 "오늘 컴퓨터 A에 액세스 할 수있는 권한이있는 사람이 내일 액세스 할 수있는 권한이 없습니다"문제를 해결할 수 있습니다. 해당 측면에 관심이있는 경우 pam_ldap에 대해 읽어보십시오.
voretaq7

5

방화벽 규칙과 동일하게 매우 쉬운 솔루션을 실행합니다.

예제 files hosts.conf :

192.168.0.1
192.168.2.99
192.168.2.100

deploy.sh :

#!/bin/bash
for d in `cat ./hosts.conf`; do
  echo "copying to $d ...";
  scp /root/.ssh./authorized_keys root@$d:/root/.ssh./authorized_keys
done;

그게 전체 마술 :-)


5

현재 SSH KeyDB를 확인하고 있습니다. 정확하게 역할을 수행하고, 역할, 서버 및 사용자를 관리하고, 사용자 키를 배포하고, 호스트 키를 수집하는 등의 작업을 수행해야합니다. "위치"라고도합니다.

나는 아직 모든 것을 해결하지 못했고 그것이 제대로 작동하는지 확실하지 않습니다. 그러나 코드는 파이썬으로되어 있으며 상당히 관리하기 쉬운 것처럼 보이므로 먼지를 털어 내고 작동시키는 것이 너무 어렵지 않아야합니다.


1

많은 사람들이 무엇을 의미하는지 잘 모르거나 변경할 의사가 있는지 모르겠지만 Kerberos는 당신이 찾고있는 드로이드입니다. 이를 통해 문제를 우아하게 해결하고 사람과 기계를 모두 인증 할 수 있습니다.


1

해결하려는 두 가지 (일반적으로 3으로 바뀌는) 다른 문제가 있습니다.

  • 인증 (당신은 누구입니까?)
  • 인증 (이 서버에 액세스 할 수 있습니까?)
  • 감사 (무엇을 했습니까?)

공개 키 인증은 때때로 인증하는 올바른 방법이지만 인증을 전혀 다루지 않습니다. 적절한 키 컨트롤이 없으면 공개 키 인증이 마음에 들지 않습니다 (특히 내부적으로).

그곳에서 Kerberos와 같은 솔루션이 등장합니다. Windows 환경에서 Active Directory는이 문제를 해결합니다. 유닉스 세계에는 선택의 폭이 넓습니다. 좋은 것과 나쁜 것입니다.

AD와 같은 Kerberos / LDAP / DNS 시스템을 쉽고 빠르게 구축 할 수있는 소프트웨어 번들 인 Red Hat FreeIPA 프로젝트를 확인했습니다 .


인증, 권한 부여 및 감사의 차이점을 이해합니다. SSH의 'authorized_keys'는 인증 및 권한 부여 데이터를 모두 제공합니다. 완벽하지는 않지만 간단합니다. 그리고 단순성은 종종 보안 측면에서도 큰 이점입니다. 복잡한 인프라를 가진 Kerberos는 authorized_keys 파일을 사용하는 ssh보다 더 많은 방법으로 보안에 실패 할 수 있습니다. 그렇다고해서 어느 쪽이 더 안전하다는 의미는 아닙니다.
Jacek Konieczny 2013

소수의 서버에서는 authorized_keys 파일 관리가 np이지만 관리가 불가능한 시점에 빠르게 도달합니다. 나는 그것이 "나쁜"해결책이라고 말하려고하지 않았다. 마찬가지로 Kerberos의 복잡성은 두 서버에 부적합합니다. 그러나 kerberos의 설계 / 구현에 대한 투자는 더 큰 환경에서 가치가 있습니다.
duffbeer703

1

Bcfg2bcfg2-accounts 와 함께 사용 하여 배포 할 수 있습니다 authorized_keys. 추가 된 보너스로 사용자 및 그룹을 제어 할 수 있습니다.

Bcfg2를 사용하면 SSHbase를 사용 /etc/ssh/ssh_known_hosts하여 손쉽게 유지 관리 할 수 있습니다.


당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.