Managing authorized_keys auf einer großen Anzahl von Hosts

Question

Was ist der einfachste Weg, um die Datei authorized_keys für openssh über eine große Anzahl von Hosts zu verwalten? Wenn ich einem Konto auf 10 Hosts einen neuen Schlüssel hinzufügen oder diesen entziehen muss, sage ich, dass ich mich anmelden und den öffentlichen Schlüssel manuell hinzufügen muss, oder durch ein ungeschicktes Shell-Skript, das zeitaufwändig ist.

Idealerweise würde es eine zentrale Datenbank sein Schlüssel zur Verknüpfung von Konten @ Maschinen mit irgendeiner Art von Unterstützung Gruppierung (IE, fügen Sie diesen Schlüssel Benutzernamen X auf allen Servern in der Web-Kategorie). Es gibt eine Gabelung von SSH mit ldap-Unterstützung, aber ich würde lieber die SSH-Hauptpakete verwenden.

Answer 1

würde ich das Monkeysphere Projekt Kasse. Es verwendet OpenPGPs Konzept der Vertrauenswürdigkeit, um die Dateien authorized_keys und known_hosts von ssh zu verwalten, ohne dass Änderungen am ssh-Client oder -Server erforderlich sind.

Answer 2

Ich habe immer das getan, um einen „Master“ Baum der verschiedenen Server Schlüssel durch die Aufrechterhaltung und mit rsync den Remote-Maschinen zu aktualisieren. Dadurch können Sie Dinge an einem Ort bearbeiten, die Änderungen effizient ausführen und die Dinge "auf dem neuesten Stand" halten - jeder bearbeitet die Master-Dateien, niemand bearbeitet die Dateien auf zufälligen Hosts.

Sie können sich Projekte ansehen, die zum Ausführen von Befehlen über verschiedene Maschinengruppen hinweg ausgeführt werden, z. B. Func unter https://fedorahosted.org/func oder andere Serverkonfigurationsverwaltungspakete.

Answer 3

Haben Sie mit clusterssh (oder ähnlich) betrachtet die Dateiübertragung zu automatisieren? Eine andere Option ist eine der zentralen configuration systems.

/Allan

Answer 4

Ich benutze Puppet für viele Dinge, dies einschließlich. (unter Verwendung des Ressourcentyps ssh_authorized_key)