Перемещение ssh ключи к корневому местоположению
Я нашел одну статью где упомянутый об открытом ключе - АВТОРИЗОВАННЫЙ Ключевой объект в человечности система Linux
АВТОРИЗОВАННЫЙ КЛЮЧЕВОЙ ОБЪЕКТ
То, когда пользователь пытается войти в систему с помощью основанной на ключе аутентификации, сервер OpenSSH ищет авторизованные ключи из каталога, указывает в конфигурации сервера с помощью опции AuthorizedKeysFile. Значение по умолчанию является .ssh/authorized_keys в корневом каталоге пользователя.
Однако хранение авторизованных ключей в корневом каталоге пользователя означает, что пользователь может добавить новые ключи, которые авторизовывают логины его учетной записи. Это удобно, но пользователь может затем дать эти ключи друзьям или коллегам, или даже продать их за биткоины (это на самом деле произошло). Ключи SSH являются, кроме того, постоянными и остаются допустимыми, пока явно не удалено.
Если авторизованные ключи добавляются для корня или сервисных учетных записей, они легко остаются допустимыми даже после человека, который установил их, покинул организацию. Они - также удобный способ для хакеров установить постоянное присутствие в системе, если нет никакого обнаружения и предупреждений о несанкционированных новых ключах.
По этим причинам большинство более крупных организаций хочет переместить авторизованные ключи к корневому местоположению и установило управляемый процесс настройки и завершения для них.
Я хочу Переместить ключ SSH к корневому Местоположению
Следующее является стандартным решением.
ПЕРЕМЕЩЕНИЕ КЛЮЧЕЙ SSH К КОРНЕВОМУ МЕСТОПОЛОЖЕНИЮ
В принципе перемещение ключей SSH к корневому местоположению легко:
- Создайте подходящий корневой каталог, например,/etc/ssh/keys, под которым хранятся авторизованные ключи.
- Создайте подкаталог в соответствии с этим каталогом для каждого пользователя и переместите authorized_keys файл каждого пользователя в/etc/ssh/keys//authorized_keys.
- Наконец, массив изменений AuthorizedKeysFile/etc/ssh/keys / % u/authorized_keys в/etc/ssh/sshd_config.
Мой вопрос в экземпляре Ubuntu Linux 16.04 EC2
- если мы укажем authorized_key местоположение на корневом уровне, то то ~/.ssh/authorized_keys будет все еще работать?
- Буду я способный к ssh соединяюсь со своим ec2 экземпляром?
1 ответ
Файлы открытого ключа SSH
Да, ~/.ssh/authorized_keys будет все еще работать, если Вы укажете его в /etc/ssh/sshd_config. Контроль sshd_config страница справочника:
AuthorizedKeysFile
Specifies the file that contains the public keys that can be used for user
authentication. The format is described in the AUTHORIZED_KEYS FILE FORMAT section
of sshd(8). AuthorizedKeysFile may contain tokens of the form %T which are
substituted during connection setup. The following tokens are defined: %% is
replaced by a literal '%', %h is replaced by the home directory of the user being
authenticated, and %u is replaced by the username of that user. After expansion,
AuthorizedKeysFile is taken to be an absolute path or one relative to the user's
home directory. Multiple files may be listed, separated by whitespace. Alternately
this option may be set to “none” to skip checking for user keys in files. The
default is “.ssh/authorized_keys .ssh/authorized_keys2”.
Но необходимо сохранить ключи в файле не каталог.
Когда changeing sshd конфигурация, текущая ssh-сессия не прекратит работать. Таким образом, можно изменить конфигурацию, перезапустите sshd и протестируйте новую конфигурацию.
# edit the configuration
$ sudo vi /etc/ssh/sshd_config
# restart the sshd
$ sudo systemctl restart sshd.service
# test from your remote hosts
$ ssh -i somenewkey root/user@ec2host
Открытый ключ SSH от LDAP
Путем к чесотке открытые ключи SSH через центральный экземпляр является сервер LDAP. Это сообщение описывает основные требования для аутентификации для работы. Существуют также некоторые хорошие сценарии для управления сохраненными открытыми ключами. Главный недостаток, что Вы устанавливаете и управляете сервером LDAP (с шифрованием, сертификатами, и т.д.), который является Альсом, достижимым от всего Вашего VM или контейнерных экземпляров.