49 votes

will avatar

Quelles sont les meilleures pratiques pour gérer les clés SSH au sein d'une équipe ?

Demandé el 23 de Janvier, 2013
Quand la question a-t-elle été
14895 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je travaille avec de petites équipes (<10) de développeurs et d'administrateurs présentant les caractéristiques suivantes :

  • La plupart des membres de l'équipe disposent de plus d'un ordinateur personnel, dont la plupart sont portables.
  • Les membres de l'équipe ont accès à 10 à 50 serveurs, généralement avec sudo

Je pense que cette situation est assez typique de la plupart des startups et des groupes informatiques des petites et moyennes entreprises.

Quelles sont les meilleures pratiques pour gérer les clés SSH dans une telle équipe ?

Faut-il partager une seule clé pour l'ensemble de l'équipe ?

Chaque personne doit-elle avoir sa propre clé sur un compte partagé ("ubuntu" sur chaque serveur) ?

Comptes séparés ?

Chaque membre de l'équipe doit-il conserver une clé distincte pour chacun de ses ordinateurs portables ou de bureau ?

Demandé el 23 de Janvier, 2013 par will

Réponses

Trop de publicités?

1voto

Dolan Antenucci avatar
Dolan Antenucci Points 329

Vous devriez opter pour la solution la plus sûre et obliger chaque utilisateur à disposer de clés distinctes, probablement pour chaque appareil.

Si vous avez des clés partagées entre les utilisateurs - même s'il s'agit d'une petite équipe - la révocation d'une clé est un inconvénient pour tous les autres.

Si vous permettez à votre personnel d'avoir une seule clé pour tous ses appareils, il peut alors choisir les serveurs auxquels il peut se connecter avec cet appareil. Par exemple, un ordinateur portable mobile peut être limité à un ou deux serveurs, alors que l'ordinateur de bureau peut avoir accès à tous les serveurs.

Répondu el 25 de Janvier, 2013 par Dolan Antenucci (329 Points )

1voto

jcapote avatar
jcapote Points 614

Il y a quelques années, Envy Labs a créé un outil appelé Keymaster (en partenariat avec le client Gatekeeper) pour gérer ce type de problème pour les équipes de développement.

Le projet n'a pas connu beaucoup de succès au cours des deux dernières années, mais il est probable que vous puissiez le bricoler et peut-être le ramener à la vie ?

Le repo est disponible sur github : https://github.com/envylabs/keymaster

Répondu el 30 de Janvier, 2013 par jcapote (614 Points )

-4voto

Rafael Bonifaz avatar
Rafael Bonifaz Points 1

Une approche pourrait être de mettre en place un serveur NIS avec le partage de /home via NFS. Ceci combiné avec sudo dans les serveurs et en autorisant seulement les utilisateurs que vous voulez à chaque serveur via la configuration ssh.

Ainsi, chaque membre de l'équipe n'utilise qu'un seul utilisateur et sa clé pour accéder à tous les serveurs. Sudo et un mot de passe pour les tâches d'administration.

Voir aussi,

Rafael

Répondu el 23 de Janvier, 2013 par Rafael Bonifaz (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X