当社では、すべての従業員に毎年更新される秘密鍵を提供し、それを使用して仮想マシンに接続する必要があります。ここのSAには、私の公開鍵を照会してそれらをリンクできるように、すべての仮想マシンの~/.ssh/authorized_keysファイルに保存する人形スクリプトがあります。
問題は、Authorized_keysファイルを上書きしていることです。つまり、ファイルに追加した他のキーも上書きされます。主にSCPを実行するためにボックスAからボックスBに接続することを望み、sudo権限ボックスを持つ複数のユーザーであるため、ボックスAに秘密鍵を入れたくないので、これは私を失望させます。私は通常、各ボックスに新しいSSHキーを作成し、そのボックスの公開キーを別のボックスのAuthorized_usersに追加しますが、操り人形によって削除され続けます。
私が維持していない人形スクリプト自体を変更せずに他の認証キーが上書きされるのを防ぐ方法はありますか?
失敗した場合、追加を上書きせずにパペットスクリプトが私の公開鍵を更新できるようにパペットスクリプトを変更する簡単な方法はありますか?これをSAに提案できますか?
VMはCentosマシンです。
答え1
私が維持していない人形スクリプト自体を変更せずに他の認証キーが上書きされるのを防ぐ方法はありますか?
サーバーへの管理アクセス権がある場合は、sshd
複数の場所で認証キーを見つけるようにサーバーを構成できます。からsshd_config(5)
:
AuthorizedKeysFile Specifies the file that contains the public keys used for user authentication. The format is described in the AUTHORIZED_KEYS FILE FORMAT section of sshd(8). Arguments to AuthorizedKeysFile accept the tokens described in the TOKENS section. After expansion, AuthorizedKeysFile is taken to be an absolute path or one relative to the user's home directory. Multiple files may be listed, separated by whitespace. Alternately this option may be set to none to skip checking for user keys in files. The default is ".ssh/authorized_keys .ssh/authorized_keys2".
失敗した場合、追加を上書きせずにパペットスクリプトが私の公開鍵を更新できるようにパペットスクリプトを変更する簡単な方法はありますか?これをSAに提案できますか?
それも簡単にする必要があります。これssh_認証キーリソースには、purge_ssh_keys
管理されていないキーをファイルから消去するかどうかを制御するフラグ(デフォルトではオフ)がありますauthorized_keys
。