V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
This topic created in 4027 days ago, the information mentioned may be changed or developed.
公司有很多客户的服务器需要运维,运维人员又多,现在的通过ssh远程方案太不安全,特别有某个员工离职需要修改很多帐号信息,然后传递来传递去容易泄露。
目前我的想法是所有服务器统一用私钥方式登陆服务器,每个人有自己的证书,证书有过期时间,过期后要重新申请,然后所有服务器关掉通过密码方式登陆ssh。
现在就这个想法有几个问题
1.服务器上面同一个帐号可以分配多个公钥么。
2.生成公钥私钥对的时候可以设置过期时间么
3.这个方案有什么好的思路通过开发一套系统来实现(如:授权生成公钥和私钥,然后分发给某些服务器。清理某个员工权限的时候自动去对应服务器删除公钥等)
目前我的想法是所有服务器统一用私钥方式登陆服务器,每个人有自己的证书,证书有过期时间,过期后要重新申请,然后所有服务器关掉通过密码方式登陆ssh。
现在就这个想法有几个问题
1.服务器上面同一个帐号可以分配多个公钥么。
2.生成公钥私钥对的时候可以设置过期时间么
3.这个方案有什么好的思路通过开发一套系统来实现(如:授权生成公钥和私钥,然后分发给某些服务器。清理某个员工权限的时候自动去对应服务器删除公钥等)
 | 1 ahcat Apr 20, 2015 HAC 堡垒机 成熟的解决方案,还带审计。 |
 | 2 fxxkgw Apr 20, 2015 kerberos? 只要设置了kerberos账号密码和期限,离职时删掉kerberos账户。 登录时用kerberos |
 | 3 akira Apr 20, 2015 linode 的gateway 思路不错,不过不知道他是用什么实现的 |
 | 4 unixbeta Apr 20, 2015 via iPhone ad或ldap 交给我来搞吧 |
 | 5 lshero Apr 20, 2015 我司弄的很费劲 SSL VPN 动态令牌 甲方的身份认证系统 还有堡垒机 线上查错和长征一样费劲 如果没有审计需求的话,最省事的办法就是服务器全放内网SSH只侦听内网的22端口,离职了后先把VPN帐户禁用了就好了 |
 | 6 ryd994 Apr 21, 2015 via Android 划清责任范围,一台机最多三个人能动 乱七八糟的容易相互扯皮 |
 | 7 sheaven OP 现在的问题是有NN家客户,每个客户又有很多服务器,so堡垒机方案肯定pass,vpn方案倒是可以考虑,不知是否有 每个客户部署一台vpn服务器 然后集中管理账号的方案 |
 | 8 huangmiao233 Apr 21, 2015 via Android 3A 服务器 |
 | 11 janxin Apr 21, 2015 堡垒机的好处是方便审计,万一出什么问题一定能溯源 VPN方便是方便了,出问题肯定扯皮,安全肯定算不上。 如果要是那么麻烦,直接用ssh验证码就可以,vpn都省了,客户直接在网页可以看到验证码,用Google Auth之类的生成就行....客户自己管理自己的网站账号密码 |
 | 12 nexpro Apr 21, 2015 目前是通过salt来管理公钥 也可以尝试采用FreeIPA |
 | 13 tuzky Apr 21, 2015 买几个RSA令牌的配套服务就好了。 另外对公网的话一定要堡垒机。 |
 | 14 yiyiwa Apr 26, 2015 我这边是ad和389-ldap同步的, 然后只有一个账号, 全部的东西都是这个账号. |
 | 15 fuge May 15, 2015 都是推销堡垒机的 |
Select Language