Миграция ключей SSH для нового пользователя для того же доступа к хосту?

357
Tim S.

Я нашел довольно много сообщений о переносе ключей SSH на новый хост, но не смог найти много о миграции с одного пользователя на другого на том же хосте ...

Мы переносим общий ресурс NAS на новую платформу и в процессе работы вводим новые общие идентификаторы приложений. Меня попросили скопировать ключи ssh из существующего универсального идентификатора в новый. Идентификатор будет обращаться к тем же хостам с тех же хостов, но будет использовать новый идентификатор. Как лучше скопировать ключи, чтобы наши более 100 приложений, которые могут использовать этот идентификатор, не сталкивались с целым вопросом «добавить этот ключ (да / нет)», который мог бы вызвать огромное количество сбоев?

0
Я смущен вопросом. Вы говорите о ключах хоста (что не должно быть проблемой, если вы используете тот же хост) или о парах открытого и закрытого ключей для каждого пользователя? Gordon Davisson 5 лет назад 0
Правильно - пара открытый / закрытый ключ. Стоит ли переносить закрытые ключи старых идентификаторов пользователя новому пользователю (вместе с файлом known_hosts), чтобы они одинаково подключались к одним и тем же хостам? Я думаю, что это единственный способ сделать это без создания нового набора ключей для нового пользователя. Я в основном ищу здесь лучшую практику, надеясь, что новые ключи не нужны. (но опять же, если это так, пусть будет так.) Tim S. 5 лет назад 0
Хорошо, я все еще в замешательстве. Вы меняете идентификаторы пользователей на стороне клиента SSH-соединения, на стороне сервера или на обоих? Находятся ли приложения, о которых мы говорим, на клиенте (и нуждаются в доступе к ресурсам сервера) или на сервере (и некоторые клиенты запускают их через какие-то автоматические удаленные соединения)? Gordon Davisson 5 лет назад 0
И то и другое - у нас есть кластер серверов, которые выполняют код на самих этих серверах, но также подключаются (обычно через ssh или sftp, порт 22 в любом случае) к другим хостам для удаленного выполнения кода. Tim S. 5 лет назад 0

2 ответа на вопрос

1
eggo

В дополнение к копированию ключей, скопируйте ~/.ssh/known_hostsфайл, который содержит идентификационные отпечатки для всех хостов, к которым подключен пользователь. При необходимости вы также можете использовать файл, /etc/ssh/ssh_known_hostsесли вы хотите заполнить всех пользователей в данной системе предварительно проверенными ключами хоста.

-1
YuMS

Это то, что вы хотите?

https://superuser.com/a/125326/417776

Используйте опцию -o,

ssh -o "StrictHostKeyChecking no" user@host
Нет, политика требует, чтобы мы не могли отключить проверку ключей. Я хочу перенести ключи ssh так, чтобы опция -o не была необходима. Если окажется, что генерация совершенно нового ключа - это лучшая практика, пусть так и будет, но если есть безопасный способ сохранить ключи, которые у нас есть, я бы предпочел сделать это. Мы подключаемся к сотням хостов с этим идентификатором. Tim S. 5 лет назад 0
Даже если это приемлемо, это, в большинстве случаев, плохая безопасность, поскольку она допускает атаки MITM. eggo 5 лет назад 0
Правильно - я не собираюсь утверждать, что считаю это ужасной идеей - вот почему ее не допустили. :) Tim S. 5 лет назад 0

Похожие вопросы