Quản lý authorized_keys trên một số lượng lớn máy chủ

Question

Cách dễ nhất để quản lý tệp authorized_keys cho openssh trên một số lượng lớn máy chủ là gì? Nếu tôi cần thêm hoặc thu hồi một khóa mới vào tài khoản trên 10 máy chủ, tôi phải đăng nhập và thêm khóa công khai theo cách thủ công hoặc thông qua tập lệnh shell vụng về, tốn thời gian. Lý tưởng nhất là sẽ có một cơ sở dữ liệu trung tâm liên kết các khóa với các tài khoản @ máy với một số loại hỗ trợ nhóm (IE, thêm khóa này vào tên người dùng X trên tất cả các máy chủ trong danh mục web). Có một nhánh SSH với hỗ trợ ldap, nhưng tôi muốn sử dụng các gói SSH chính.

Answer 1

Tôi muốn thanh toán dự án Monkeysphere. Nó sử dụng các khái niệm web tin cậy của OpenPGP để quản lý các tệp authorized_keys và known_hosts của ssh, mà không yêu cầu thay đổi đối với máy khách hoặc máy chủ ssh.

Answer 2

Tôi luôn thực hiện việc này bằng cách duy trì cây "chính" của các khóa của các máy chủ khác nhau và sử dụng rsync để cập nhật các máy từ xa. Điều này cho phép bạn chỉnh sửa mọi thứ ở một vị trí, đẩy các thay đổi ra hiệu quả và giữ mọi thứ "cập nhật" - mọi người chỉnh sửa tệp chính, không ai chỉnh sửa tệp trên máy chủ ngẫu nhiên.

Bạn có thể xem các dự án được tạo để chạy các lệnh trên các nhóm máy, chẳng hạn như Func tại https://fedorahosted.org/func hoặc các gói quản lý cấu hình máy chủ khác.

Answer 3

Bạn đã cân nhắc sử dụng clusterssh (hoặc tương tự) để tự động chuyển tệp không? Một tùy chọn khác là một trong số configuration systems tập trung.

/Allan

Answer 4

Tôi sử dụng Rối cho nhiều thứ, bao gồm cả điều này. (sử dụng loại tài nguyên ssh_authorized_key)