Каков лучший подход для управления ключами RSA на Ubuntu?
Я предполагаю, что мой ответ не был достаточно хорош, и кто-то чувствовал потребность удалить его.
monit или бог, вытесните вещи, занимающие путем установления пределов. Если Вы выполняете виртуальный железный, а не чистый металл, присваиваете все кроме одного ядра к Вашему процессу и сохраняете одно ядро для консольного доступа. KVM по IP может иногда позволять Вам вводить сочетание клавиш в консоль. Если сетевая активность делает его, отключите eth0, пока вещи не успокаиваются, подключение на eth1.
Мы управляем всеми нашими ключами с помощью Puppet. Каждый ключ имеет комментарий, идентифицирующий сотрудника по имени, и когда кто-то теряет свое, или он уходит, или что-то еще, мы просто обновляем манифест, а Puppet позаботится об удалении старого и добавлении нового.
Я вас очень хорошо понимаю. Когда я реализовал аутентификацию RSA для доступа к нашим серверам только для разработчиков, у меня были действительно неприятные дни. Фактически, большинство обычных пользователей до сих пор ненавидят меня за «очень загадочные пароли». Я не могу заставить это работать сразу, но, возможно, некоторые регулярные заметки по безопасности дадут некоторые результаты, и пользователи поймут, зачем это нужно.
Вы не можете много сделать на компьютерах пользователей. Фактически, если у вас есть права администратора на офисных компьютерах, вы сможете выполнить некоторые проверки путей ключей SSH по умолчанию, проверить запущенные ssh-агенты, ключевые пароли, прочитать .ssh / config для сбора дополнительной информации . Но если ключ хранится где-то еще, вы мало что сможете сделать.
Где-то было сказано, что в этой ситуации вы должны доверять, но проверять. В основном это означает, что вы можете просто иногда проверять, как пользователь обращается к серверу, и проконсультироваться с ним, почему необходимо использовать пароль для защиты закрытого ключа и т. Д.
Что касается серверной части, я храню общедоступные данные всех пользователей. ключей в базе данных LDAP и я использую исправленный сервер SSH для получения открытых ключей от LDAP. Патч называется LPK, и его не нужно настраивать вместе с аутентификацией / авторизацией LDAP PAM. Его домашняя страница: http://code.google.com/p/openssh-lpk/ . Я просто перестраиваю пакет debian с этим патчем (иногда немного модифицируя его, чтобы он хорошо подходил) и сохраняю его в локальном репозитории нашей компании, который имеет высокий приоритет. LDAP доступен для хранения ключей нескольких пользователей, и если какой-то ключ будет скомпрометирован или утерян, я просто удаляю его открытую часть с сервера LDAP.
необходимо использовать пароль для защиты закрытого ключа и т. д.Что касается серверной части, я храню открытые ключи всех пользователей в базе данных LDAP и использую исправленный SSH-сервер для получения открытых ключей от LDAP. Патч называется LPK, и его не нужно настраивать вместе с аутентификацией / авторизацией LDAP PAM. Его домашняя страница: http://code.google.com/p/openssh-lpk/ . Я просто перестраиваю пакет debian с этим патчем (иногда немного модифицируя его, чтобы он хорошо подходил) и сохраняю его в локальном репозитории нашей компании, который имеет высокий приоритет. LDAP доступен для хранения ключей нескольких пользователей, и если какой-то ключ будет скомпрометирован или утерян, я просто удаляю его открытую часть с сервера LDAP.
необходимо использовать пароль для защиты закрытого ключа и т. д.Что касается серверной части, я храню открытые ключи всех пользователей в базе данных LDAP и использую исправленный SSH-сервер для получения открытых ключей от LDAP. Патч называется LPK, и его не нужно настраивать вместе с аутентификацией / авторизацией LDAP PAM. Его домашняя страница: http://code.google.com/p/openssh-lpk/ . Я просто перестраиваю пакет debian с этим патчем (иногда немного модифицируя его, чтобы он лучше подходил) и сохраняю его в локальном репозитории нашей компании, который имеет высокий приоритет. LDAP доступен для хранения ключей нескольких пользователей, и если какой-то ключ будет скомпрометирован или утерян, я просто удаляю его открытую часть с сервера LDAP.
открытые ключи в базе данных LDAP, и я использую исправленный SSH-сервер для получения открытых ключей от LDAP. Патч называется LPK, и его не нужно настраивать вместе с аутентификацией / авторизацией LDAP PAM. Его домашняя страница: http://code.google.com/p/openssh-lpk/ . Я просто перестраиваю пакет debian с этим патчем (иногда немного модифицируя его, чтобы он лучше подходил) и сохраняю его в локальном репозитории нашей компании, который имеет высокий приоритет. LDAP доступен для хранения ключей нескольких пользователей, и если какой-то ключ будет скомпрометирован или утерян, я просто удаляю его открытую часть с сервера LDAP. открытые ключи в базе данных LDAP и я использую исправленный SSH-сервер для получения открытых ключей от LDAP. Патч называется LPK, и его не нужно настраивать вместе с аутентификацией / авторизацией LDAP PAM. Его домашняя страница: http://code.google.com/p/openssh-lpk/ . Я просто перестраиваю пакет debian с этим патчем (иногда немного модифицируя его, чтобы он лучше подходил) и сохраняю его в локальном репозитории нашей компании, который имеет высокий приоритет. LDAP доступен для хранения ключей нескольких пользователей, и если какой-то ключ будет скомпрометирован или утерян, я просто удаляю его открытую часть с сервера LDAP. Я просто перестраиваю пакет debian с этим патчем (иногда немного модифицируя его, чтобы он лучше подходил) и сохраняю его в локальном репозитории нашей компании, который имеет высокий приоритет. LDAP доступен для хранения ключей нескольких пользователей, и если какой-то ключ будет скомпрометирован или утерян, я просто удаляю его открытую часть с сервера LDAP. Я просто перестраиваю пакет debian с этим патчем (иногда немного модифицируя его, чтобы он хорошо подходил) и сохраняю его в локальном репозитории нашей компании, который имеет высокий приоритет. LDAP доступен для хранения ключей нескольких пользователей, и если какой-то ключ будет скомпрометирован или утерян, я просто удаляю его открытую часть с сервера LDAP.