SSH: one authorized_keys pour plusieurs counts de service

Existe-t-il un moyen de configurer SSH pour vérifier un file autorisé unique pour plusieurs users? Je sais que je peux copyr la key publique dans le file authorized_keys de chaque user, mais pour faciliter la gestion, j'aimerais un file autorisé autorisé supplémentaire pour les administrateurs qui leur permettrait de se connecter à tous les users (ou groupes spécifiques d'users).

3 Solutions collect form web for “SSH: one authorized_keys pour plusieurs counts de service”

Vous pouvez utiliser la directive AuthorizedKeysFile dans / etc / ssh / sshd_config pour le faire. L'location .ssh/authorized_keys est .ssh/authorized_keys mais vous pouvez utiliser quelque chose qui contient un path absolu, par exemple

 AuthorizedKeysFile /path/to/your/keyfile 

les pages man indiquent ceci

AuthorizedKeysFile

Spécifie le file qui contient les keys publiques pouvant être utilisées pour l'authentification des users. AuthorizedKeysFile peut contenir des jetons de la forme% T qui sont remplacés lors de la configuration de la connection. Les tokens suivants sont définis: %% est remplacé par un "%" littéral,% h est remplacé par le directory personnel de l'user authentifié et% u est remplacé par le nom d'user de cet user. Après l'expansion, AuthorizedKeysFile est considéré comme un path absolu ou l'un relatif au directory personnel de l'user. La valeur par défaut est ".ssh / authorized_keys".

Vos administrateurs devraient utiliser et approprier (pour votre environnement) combinaison de sudo et su .

ssh n'est pas le bon outil pour cela.

Contradictory Edit (Désolé, on dirait que j'ai souffert de la cécité du titre. Merci Zoredache ):

Placez tous les counts de service dans le même group , utilisez ce groupe dans le cadre d'un bloc Match dans sshd_config spécifiez le AuthorisedKeysFile vous souhaitez que tous utilisent. (Le groupe de correspondance est de sorte que tous les counts ne soient pas effectués.) Ils ne disposeront plus de files AuthorisedKeysFiles individuels. openssh-lpk peut permettre aux counts individuels d'avoir leurs propres keys en plus, mais je n'en suis pas sûr.

Modifier : Vous devriez tenir count de la réponse de @ Iain ci-dessus . C'est complet et précis. Ma réponse ci-dessous est orientée vers des keys privées partagées – clairement un malentendu de ma part. Je laisserai cette réponse ici, car je considère qu'il s'agit d'une information précieuse, mais pas pour cette question spécifique.


Je ne connais pas votre cas d'usage, mais je suis tenté de dire "vous le faites mal".

Chaque user devrait avoir son propre kepair. De cette façon, lorsqu'un user part, est transféré, promu à un rôle de gestion ou autre chose qui exige la révocation des droits, vous venez de révoquer cette key. Cela rend également une vérification efficace beaucoup, beaucoup plus difficile.

Si vous avez besoin que les users puissent se passer pour d'autres users, ils doivent être configurés pour le faire avec sudo . Le fait de partager des keys SSH n'est normalement pas une bonne idée.

  • Pourquoi ne puis-je pas ssh dans mon server ubuntu? (erreur ssh_exchange_identification)
  • Attention: l'identification de l'hôte à distance a changé (SSH)
  • La key d'hôte SSH semble changer de façon inattendue
  • Authentification de key SSH au niveau du server
  • Comment changer une key hôte SSH?
  • Ssh sans mot de passe dans la même machine
  • Pourquoi le SSHD est-il suspendu à "Le serveur accepte la clé"
  • Rsync + security publique d'authentification
  • ssh: Impossible de résoudre le nom d'hôte append: Nom ou service inconnu
  • Puis-je utiliser switch user "su" avec des keys / certificate?
  • Puis-je SSH dans mon instance de serveur ECC d'Amazon si je n'ai pas le fichier .pem depuis l'origine de l'instance?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.