Як ви керуєте ключами SSH?

15

У мене є сервер з декількома користувачами, у кожного з яких є кілька авторизованих SSH ключів. Чи існує якийсь ефективний спосіб (утиліта командного рядка?) Відстежувати, який ключ належить кому і швидко видаляти / додавати ключі (крім ssh-copy-id)?

ssh

— Олів'є Лалонде
джерело

1

сценарії оболонки можуть легко відстежувати час входу з журналів та маніпулювати файлами в .ssh ... Я знаю, що це не те, що ви шукаєте, тому це коментар, а не відповідь

— RobotHumans

1

Використання останньої частини кожного рядка в .ssh/authorized_keysпризначене для коментарів (з man sshd: "Протокол 1 відкритих ключів складається з таких розділених пробілами полів: параметри, біти, експоненти, модуль, коментар. Публічний ключ протоколу 2 складається з: параметрів, типу клавіш, ключ64-закодований, коментар. "). І щоб відповісти на запитання, я використовую, vimале будь-який редактор повинен це робити.

— панцирік

Звичайно, якщо кожен користувач має окремий обліковий запис користувача, немає жодних проблем, якщо всі записи знаходяться у домашній папці кожного (або насправді у .ssh / autori_keys, але все одно).

— Оллі

@shellholic, ти маєш хорошу відповідь. Опублікуйте, щоб його можна було позначити як таке :)

— djeikyb

@djeikyb гаразд, молодець, але я повинен трохи завершити

— шелкофонік

3

Ви можете використовувати останню частину кожного рядка .ssh/authorized_keys, призначеного для коментарів. Від man sshd:

Публічні ключі протоколу 1 складаються з таких розділених пробілом полів: параметри, біти, експонент, модуль, коментар. Публічний ключ протоколу 2 складається з: параметрів, типу ключа, ключа, закодованого base64, коментаря.

І щоб відповісти на запитання, я використовую, vimале будь-який редактор повинен це робити.

Мої коментарі зазвичай містять:

дата створення
фізичне розташування: комп'ютер створення / USB-накопичувач (я вважаю за краще не рухати приватний ключ, а генерувати / відкликати їх і знати, де вони знаходяться)
1-2 слова про мету (для якого логіна, для якого клієнта, для якого сценарію)

— черепашник
джерело

3

Я б замовив проект Monkeysphere . Він використовує мережу концепцій довіри OpenPGP для управління файлами дозволених ключів ssh і відомих_хостів, не вимагаючи змін клієнта або сервера ssh.

— Da1T
джерело

0

Є також ssh-import-id, які можуть надійно імпортувати відкриті ключі SSH користувачів із Launchpad.net .

— Дастін Кіркленд
джерело

0

Bastillion - https://www.bastillion.io

Користувачі керують власними ключами SSH на основі призначених їм профілів.

https://www.bastillion.io/docs/using/keymanagement/

— скавана
джерело