[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

hostkey Management bei kleinen Organisationen mit mehren Maschinen

Subject: hostkey Management bei kleinen Organisationen mit mehren Maschinen
From: Philipp Schafft <lion@xxxxxxxxxxxxxxx>
Date: Thu, 20 Feb 2020 09:18:26 +0000
To: uugrn@xxxxxxxxxxxxxxx

Guten Morgen in die Runde,

weil das Thema im anderen Thread aufkam dachte ich schreibe ich einfach
mal einen Erfahrungsbericht hier aus einem anderen Verein.

Dort haben wir mehre Server laufen auf denen verschiedene Leute Zugriff
haben (Vorstand, Admins, Mitglieder, Externe,...). Plus es gibt noch ein
paar Partner die auch Maschinen betreiben auf die der ein oder andere
auch einmal zugriff nimmt.

Was wir nun gemacht haben um den ganzen Kuttelmuttel mit den Keys zu
vermeiden ist folgendes:
Wir haben eine Masterliste mit allen relevanten Hostkeys von allen
relevanten Systemen. Die Liste wird von den Admins einfach gleich mit
gepflegt wenn neue Systeme installiert werden oder alte sterben.
Diese Liste ist dadurch immer sehr aktuell und sie ist auch entsprechend
kommentiert, damit man damit was anfangen kann.

Als naechstes wird die Liste dann auf *ALLEN* Maschinen
als /etc/ssh/ssh_known_hosts zur Verfuegung gestellt. (Auch bei den
Partnern soweit sinnvoll, wird also auch rueckkommuniziert).

Das hat drei Vorteile:
      * Man kann von jeder auf jede andere Machine einfach "ssh bla"
        eingeben und braucht sich um den Key einfach nicht kuemmern.
      * Die User koennen entweder die Liste uebernehmen, importieren, oder
        sich einzeln daraus Bedienen bei bedarf.
      * Sobald sie auf irgendeine Maschine zugriff haben, haben sie
        sicheren Zugriff auf die Liste. Man muss also nur einmal einen
        Key verteilen bei jedem der das erste mal mit irgendeiner der
        Maschinen in Kontakt kommt.


Anmerkungen:
      * Bei den Faellen wo wir das so im Einsatz haben, pflegen wir die
        Konsistenz manuell. Es gibt also kein script was die Liste
        automatisch verteilt. Ob man das will und wie man das will haengt
        viel von den inneren Strukturen, dem Homogenitaetsgrad, und dem
        ab, wie viel sich aendert.
      * Bei der UUGRN sollte man sich ueberlegen wie man Mitglieder
        (V-)Maschinen in so ein system einbezieht, falls man es umsetzen
        wollen wuerde.
      * Wir haben ueberall eine Trennung zwischen physikalischem Hostname
        und Funktionsname. Ersterer ist eindeutig und aendert sich jedes
        mal wenn man die hardware tauscht oder das OS neu installiert.
        Zweiter gibt die Funktion an. SSH hostkeys sind immer auf den
        physischen Namen.


Ich hoffe dieser klein Erfahrungsbericht gibt ein paar positive Anstoesse.
Vielleicht fuer die UUGRN, vielleicht fuer einzelne hier auf der Liste.

Mit bestem Gruss,

-- 
Philipp.
 (Rah of PH2)

-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/