hostkey Management bei kleinen Organisationen mit mehren Maschinen

From: Philipp Schafft <lion_at_lion.leolix.org>
Date: Thu, 20 Feb 2020 09:18:26 +0000
Guten Morgen in die Runde,

weil das Thema im anderen Thread aufkam dachte ich schreibe ich einfach
mal einen Erfahrungsbericht hier aus einem anderen Verein.

Dort haben wir mehre Server laufen auf denen verschiedene Leute Zugriff
haben (Vorstand, Admins, Mitglieder, Externe,...). Plus es gibt noch ein
paar Partner die auch Maschinen betreiben auf die der ein oder andere
auch einmal zugriff nimmt.

Was wir nun gemacht haben um den ganzen Kuttelmuttel mit den Keys zu
vermeiden ist folgendes:
Wir haben eine Masterliste mit allen relevanten Hostkeys von allen
relevanten Systemen. Die Liste wird von den Admins einfach gleich mit
gepflegt wenn neue Systeme installiert werden oder alte sterben.
Diese Liste ist dadurch immer sehr aktuell und sie ist auch entsprechend
kommentiert, damit man damit was anfangen kann.

Als nächstes wird die Liste dann auf *ALLEN* Maschinen
als /etc/ssh/ssh_known_hosts zur Verfügung gestellt. (Auch bei den
Partnern soweit sinnvoll, wird also auch rückkommuniziert).

Das hat drei Vorteile:
      * Man kann von jeder auf jede andere Machine einfach "ssh bla"
        eingeben und braucht sich um den Key einfach nicht kümmern.
      * Die User können entweder die Liste übernehmen, importieren, oder
        sich einzeln daraus Bedienen bei bedarf.
      * Sobald sie auf irgendeine Maschine zugriff haben, haben sie
        sicheren Zugriff auf die Liste. Man muss also nur einmal einen
        Key verteilen bei jedem der das erste mal mit irgendeiner der
        Maschinen in Kontakt kommt.


Anmerkungen:
      * Bei den Fällen wo wir das so im Einsatz haben, pflegen wir die
        Konsistenz manuell. Es gibt also kein script was die Liste
        automatisch verteilt. Ob man das will und wie man das will hängt
        viel von den inneren Strukturen, dem Homogenitätsgrad, und dem
        ab, wie viel sich ändert.
      * Bei der UUGRN sollte man sich überlegen wie man Mitglieder
        (V-)Maschinen in so ein system einbezieht, falls man es umsetzen
        wollen würde.
      * Wir haben überall eine Trennung zwischen physikalischem Hostname
        und Funktionsname. Ersterer ist eindeutig und ändert sich jedes
        mal wenn man die hardware tauscht oder das OS neu installiert.
        Zweiter gibt die Funktion an. SSH hostkeys sind immer auf den
        physischen Namen.


Ich hoffe dieser klein Erfahrungsbericht gibt ein paar positive Anstöße.
Vielleicht für die UUGRN, vielleicht für einzelne hier auf der Liste.

Mit bestem Gruß,

-- 
Philipp.
 (Rah of PH2)

-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Received on 20.02.2020

This archive was generated by hypermail 2.3.0 : 20.02.2020 CET