ssh. Аутентификация по ключам.

Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета.

Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен

Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме.

С уважением, ваш призрачный админ, BigMac...

ssh. Аутентификация по ключам.

contoso.com

Пользователь

Сообщения: 87
Благодарности: 3

Профиль | Отправить PM | Цитировать

Всем привет!
Как Вы уже могли подумать, разговор пойдет про аутентификацию по ключам при подключении по протоколу ssh к машинам под *nix. А вот и нет. Вы ошиблись.
На самом деле тема является неотъемлемой частью того, что представлено в заголовке.
Планирую отказаться от парольной аутентификации и перейти на использование ключей. В связи с этим несколько вопрсов:
1. Парни, где вы храните открытые ключи? Т.к. предсказать, откуда может понадобиться доступ не возможно, то хранить ключи на рабочей машине не совсем логично. Сам собой навязывается вариант использовать внешнее хранилище и как самый доступный - фрешка. Вот отсюда рождается вопрос номер два.
2. Если машин, к которым надо подключаться несколько, для каждой надо отдельно генерировать ключ или использовать один для всех? Вполне логично использовать для каждого хоста свою пару ключей, но тогда возникает проблема с их именованием. Если, например, использовать схему именования с адресом сервера id_rsa_10.4.0.1.pub, то любой гражданин, заполучив во владение мою фрешку сможет безошибочно определить к какой машине какой колюч соответствует. Если использовать имя, id_rsa_oracle-one.pub, то возникает путаница, особенно если подобных серверов несколько. С произвольными именами, как то одинокий_волк_маккуэйд.pub вообще ерунда.

Собственно в этом и вопрос, как правильно организовать ключехранение, чтобы и волки целы и овцы сыты.
Благодарю!

Отправлено: 10:51, 10-07-2013

vadblm

Забанен

Сообщения: 6158
Благодарности: 1300

Профиль | Цитировать

Может, немного не в тему отвечаю, но особого смысла изобретать флешку с ключами нет. Их уже изобрели.

Называются security token. Из совместимых с механизмом PAM, первое, что нагуглилось: http://blog.stalkr.net/2012/04/yubik...ity-token.html

Публичные ключи можно держать в LDAP, pam_ldap в помощь. Ну и емнип, у fusion directory даже есть плагин для хранения публичных ключей.

Отправлено: 16:45, 12-07-2013 | #2