ssh. Аутентификация по ключам.
 

Всем привет!
Как Вы уже могли подумать, разговор пойдет про аутентификацию по ключам при подключении по протоколу ssh к машинам под *nix. А вот и нет. Вы ошиблись.
На самом деле тема является неотъемлемой частью того, что представлено в заголовке.
Планирую отказаться от парольной аутентификации и перейти на использование ключей. В связи с этим несколько вопрсов:
1. Парни, где вы храните открытые ключи? Т.к. предсказать, откуда может понадобиться доступ не возможно, то хранить ключи на рабочей машине не совсем логично. Сам собой навязывается вариант использовать внешнее хранилище и как самый доступный - фрешка. Вот отсюда рождается вопрос номер два.
2. Если машин, к которым надо подключаться несколько, для каждой надо отдельно генерировать ключ или использовать один для всех? Вполне логично использовать для каждого хоста свою пару ключей, но тогда возникает проблема с их именованием. Если, например, использовать схему именования с адресом сервера id_rsa_10.4.0.1.pub, то любой гражданин, заполучив во владение мою фрешку сможет безошибочно определить к какой машине какой колюч соответствует. Если использовать имя, id_rsa_oracle-one.pub, то возникает путаница, особенно если подобных серверов несколько. С произвольными именами, как то одинокий_волк_маккуэйд.pub вообще ерунда.

Собственно в этом и вопрос, как правильно организовать ключехранение, чтобы и волки целы и овцы сыты.
Благодарю!

Может, немного не в тему отвечаю, но особого смысла изобретать флешку с ключами нет. Их уже изобрели. :) Называются security token. Из совместимых с механизмом PAM, первое, что нагуглилось: http://blog.stalkr.net/2012/04/yubik...ity-token.html

Публичные ключи можно держать в LDAP, pam_ldap в помощь. Ну и емнип, у fusion directory даже есть плагин для хранения публичных ключей.