V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
sheaven
V2EX  ›  Linux

多人同时运维一批服务器有什么方便安全的方案

  •  
  •   sheaven · 2015-04-20 16:09:43 +08:00 · 4745 次点击
    这是一个创建于 3534 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司有很多客户的服务器需要运维,运维人员又多,现在的通过ssh远程方案太不安全,特别有某个员工离职需要修改很多帐号信息,然后传递来传递去容易泄露。
    目前我的想法是所有服务器统一用私钥方式登陆服务器,每个人有自己的证书,证书有过期时间,过期后要重新申请,然后所有服务器关掉通过密码方式登陆ssh。

    现在就这个想法有几个问题
    1.服务器上面同一个帐号可以分配多个公钥么。
    2.生成公钥私钥对的时候可以设置过期时间么
    3.这个方案有什么好的思路通过开发一套系统来实现(如:授权生成公钥和私钥,然后分发给某些服务器。清理某个员工权限的时候自动去对应服务器删除公钥等)
    15 条回复    2015-05-15 12:09:57 +08:00
    ahcat
        1
    ahcat  
       2015-04-20 16:11:37 +08:00
    HAC 堡垒机 成熟的解决方案,还带审计。
    fxxkgw
        2
    fxxkgw  
       2015-04-20 17:20:49 +08:00
    kerberos?
    只要设置了kerberos账号密码和期限,离职时删掉kerberos账户。
    登录时用kerberos
    akira
        3
    akira  
       2015-04-20 17:43:25 +08:00
    linode 的gateway 思路不错,不过不知道他是用什么实现的
    unixbeta
        4
    unixbeta  
       2015-04-20 17:49:56 +08:00 via iPhone
    ad或ldap
    交给我来搞吧
    lshero
        5
    lshero  
       2015-04-20 18:09:09 +08:00
    我司弄的很费劲 SSL VPN 动态令牌 甲方的身份认证系统 还有堡垒机
    线上查错和长征一样费劲

    如果没有审计需求的话,最省事的办法就是服务器全放内网SSH只侦听内网的22端口,离职了后先把VPN帐户禁用了就好了
    ryd994
        6
    ryd994  
       2015-04-21 00:07:52 +08:00 via Android
    划清责任范围,一台机最多三个人能动
    乱七八糟的容易相互扯皮
    sheaven
        7
    sheaven  
    OP
       2015-04-21 01:03:26 +08:00
    现在的问题是有NN家客户,每个客户又有很多服务器,so堡垒机方案肯定pass,vpn方案倒是可以考虑,不知是否有 每个客户部署一台vpn服务器 然后集中管理账号的方案
    huangmiao233
        8
    huangmiao233  
       2015-04-21 02:16:23 +08:00 via Android
    3A 服务器
    9hills
        9
    9hills  
       2015-04-21 03:18:02 +08:00 via iPad
    NNN家用户和堡垒机有啥冲突?我厂几十个机房也是堡垒机
    @sheaven
    ryd994
        10
    ryd994  
       2015-04-21 04:07:15 +08:00 via Android
    @sheaven 一台vpn服务器都行
    用radius,每个用户的IP段不同
    剩下的交给防火墙
    radius加减用户也很方便
    janxin
        11
    janxin  
       2015-04-21 08:06:53 +08:00
    堡垒机的好处是方便审计,万一出什么问题一定能溯源
    VPN方便是方便了,出问题肯定扯皮,安全肯定算不上。
    如果要是那么麻烦,直接用ssh验证码就可以,vpn都省了,客户直接在网页可以看到验证码,用Google Auth之类的生成就行....客户自己管理自己的网站账号密码
    nexpro
        12
    nexpro  
       2015-04-21 10:29:04 +08:00
    目前是通过salt来管理公钥

    也可以尝试采用FreeIPA
    tuzky
        13
    tuzky  
       2015-04-21 11:15:38 +08:00
    买几个RSA令牌的配套服务就好了。
    另外对公网的话一定要堡垒机。
    yiyiwa
        14
    yiyiwa  
       2015-04-26 15:44:16 +08:00
    我这边是ad和389-ldap同步的, 然后只有一个账号, 全部的东西都是这个账号.
    fuge
        15
    fuge  
       2015-05-15 12:09:57 +08:00
    都是推销堡垒机的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2961 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:09 · PVG 08:09 · LAX 16:09 · JFK 19:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.