[请教]是否能够不分发私钥,实现多人共享 ssh 验证?

2022-09-02 08:17:59 +08:00
 fox0001

外网有台 Linux 服务器,已配置好密钥登录 ssh 。

需要办公室内的同事可以 ssh 进去维护服务器。简单粗暴的做法,把密钥复制到各个机器。或者服务器上的登录用户配置多个密钥。

疑问是,能否不复制私钥,实现各个同事可以在办公室内网,通过 ssh 登录服务器?

4549 次点击
所在节点    Linux
34 条回复
ruidoBlanco
2022-09-02 08:21:44 +08:00
host based authentication ,认机不认人。
toaruScar
2022-09-02 08:25:21 +08:00
可以用证书验证。
生成一个 CA ,让服务器信任。让后用这个 CA 来签同事的公钥,同时写入 principal 。这样在服务器上设置一次某个用户允许哪些 principals 登录就行了。
yyf1234
2022-09-02 08:33:05 +08:00
堡垒机
NessajCN
2022-09-02 08:33:53 +08:00
那你就开密码登录呗...
fox0001
2022-09-02 08:36:03 +08:00
@NessajCN #4 就是不想分发验证信息,包括密钥、密码之类
villivateur
2022-09-02 08:41:04 +08:00
那你就把每个同事电脑的公钥都放在这台服务器上呗
bruce0
2022-09-02 08:50:35 +08:00
蹲一个靠谱的方案, 我们也有你这样的需求, 有多台机器(比如 20 太机器), 都要做权限管理就很麻烦. 之前查过资料, 有推荐 VPN 的, 要连的机器, 只能通过特定的 ip 连接, 假设为机器 A, 目标机只能通过 A 连接, A 同时只能通过 VPN 连接上去,然后可以通过 VPN 控制权限. 还一种方案就是跳板机, 假设为机器 B, 只能通过 B 连接目标机, 不同人拥有 B 的访问权限, 控制 B 的访问权限, 就可以控制所有机器的
dingyaguang117
2022-09-02 08:55:50 +08:00
有一些开源的跳板机系统,权限管理带 webui 的
ZE3kr
2022-09-02 08:57:41 +08:00
做个 WebSSH ,之前用 Cloudflare Teams 就可以做到这个,支持 SSO 登陆进入 SSH 页面
fox0001
2022-09-02 08:59:44 +08:00
@dingyaguang117 #8 我也有类似的想法。比如局域网内部署一个 cPanel 、宝塔之类的系统,只能局域网内访问,里面配置好 ssh 私钥。打开那系统就能 ssh 到 Linux 服务器上。但是不知道用哪个…
huangmingyou
2022-09-02 09:02:32 +08:00
开源的 jumpserver 不错,可以实现
apake
2022-09-02 09:19:02 +08:00
1 跳板机,所有人登入跳板机,再登录服务器。2 服务器启动 jupyter ,浏览器就可以登录终端了
dingyaguang117
2022-09-02 09:19:18 +08:00
@fox0001 jumpserver 就挺好
dddd1919
2022-09-02 09:19:43 +08:00
关键字 authorized_keys
ytmsdy
2022-09-02 09:22:51 +08:00
把需要登录服务器的同事的公钥收集一下,然后都放到服务器上不就完了么。
byte10
2022-09-02 09:24:51 +08:00
(⊙o⊙)。xshell 的毒,预留了一个私钥的登录给你们,导致你们不知道可以使用公钥免密登录?关键字 authorized_keys
proxychains
2022-09-02 09:26:11 +08:00
jumpserver 堡垒机
lazyyz
2022-09-02 09:29:46 +08:00
轻量的推荐 next-terminal ,我自己在用,挺方便的
microxiaoxiao
2022-09-02 09:40:12 +08:00
搞个免密码登录到远程服务器的 linux 内网跳板机,然后在内网跳板机上面用 iptables 开白名单。迁移也简单
microxiaoxiao
2022-09-02 09:43:09 +08:00
哦,对了。同事的终端可以选择 mobaxterm ,变个启动脚本,这样登录跳板机自动 ssh 到远程服务器。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/877152

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX