V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
fox0001
V2EX  ›  Linux

[请教]是否能够不分发私钥,实现多人共享 ssh 验证?

  •  
  •   fox0001 · 94 天前 via Android · 3659 次点击
    这是一个创建于 94 天前的主题,其中的信息可能已经有所发展或是发生改变。

    外网有台 Linux 服务器,已配置好密钥登录 ssh 。

    需要办公室内的同事可以 ssh 进去维护服务器。简单粗暴的做法,把密钥复制到各个机器。或者服务器上的登录用户配置多个密钥。

    疑问是,能否不复制私钥,实现各个同事可以在办公室内网,通过 ssh 登录服务器?

    第 1 条附言  ·  94 天前
    可以结贴了。jumpserver 、next-terminal 的方案,满足需求。

    @dingyaguang117
    @proxychains
    @yyf1234
    @lazyyz
    @jfj8848
    @Tink
    感谢推荐。
    34 条回复    2022-09-05 09:19:36 +08:00
    ruidoBlanco
        1
    ruidoBlanco  
       94 天前
    host based authentication ,认机不认人。
    toaruScar
        2
    toaruScar  
       94 天前   ❤️ 1
    可以用证书验证。
    生成一个 CA ,让服务器信任。让后用这个 CA 来签同事的公钥,同时写入 principal 。这样在服务器上设置一次某个用户允许哪些 principals 登录就行了。
    yyf1234
        3
    yyf1234  
       94 天前 via iPhone   ❤️ 1
    堡垒机
    NessajCN
        4
    NessajCN  
       94 天前
    那你就开密码登录呗...
    fox0001
        5
    fox0001  
    OP
       94 天前 via Android
    @NessajCN #4 就是不想分发验证信息,包括密钥、密码之类
    villivateur
        6
    villivateur  
       94 天前   ❤️ 5
    那你就把每个同事电脑的公钥都放在这台服务器上呗
    bruce0
        7
    bruce0  
       94 天前
    蹲一个靠谱的方案, 我们也有你这样的需求, 有多台机器(比如 20 太机器), 都要做权限管理就很麻烦. 之前查过资料, 有推荐 VPN 的, 要连的机器, 只能通过特定的 ip 连接, 假设为机器 A, 目标机只能通过 A 连接, A 同时只能通过 VPN 连接上去,然后可以通过 VPN 控制权限. 还一种方案就是跳板机, 假设为机器 B, 只能通过 B 连接目标机, 不同人拥有 B 的访问权限, 控制 B 的访问权限, 就可以控制所有机器的
    dingyaguang117
        8
    dingyaguang117  
       94 天前 via iPhone
    有一些开源的跳板机系统,权限管理带 webui 的
    ZE3kr
        9
    ZE3kr  
       94 天前 via iPhone
    做个 WebSSH ,之前用 Cloudflare Teams 就可以做到这个,支持 SSO 登陆进入 SSH 页面
    fox0001
        10
    fox0001  
    OP
       94 天前 via Android
    @dingyaguang117 #8 我也有类似的想法。比如局域网内部署一个 cPanel 、宝塔之类的系统,只能局域网内访问,里面配置好 ssh 私钥。打开那系统就能 ssh 到 Linux 服务器上。但是不知道用哪个…
    huangmingyou
        11
    huangmingyou  
       94 天前   ❤️ 1
    开源的 jumpserver 不错,可以实现
    apake
        12
    apake  
       94 天前 via Android
    1 跳板机,所有人登入跳板机,再登录服务器。2 服务器启动 jupyter ,浏览器就可以登录终端了
    dingyaguang117
        13
    dingyaguang117  
       94 天前 via iPhone   ❤️ 1
    @fox0001 jumpserver 就挺好
    dddd1919
        14
    dddd1919  
       94 天前   ❤️ 2
    关键字 authorized_keys
    ytmsdy
        15
    ytmsdy  
       94 天前   ❤️ 1
    把需要登录服务器的同事的公钥收集一下,然后都放到服务器上不就完了么。
    byte10
        16
    byte10  
       94 天前
    (⊙o⊙)。xshell 的毒,预留了一个私钥的登录给你们,导致你们不知道可以使用公钥免密登录?关键字 authorized_keys
    proxychains
        17
    proxychains  
       94 天前   ❤️ 1
    jumpserver 堡垒机
    lazyyz
        18
    lazyyz  
       94 天前 via Android   ❤️ 1
    轻量的推荐 next-terminal ,我自己在用,挺方便的
    microxiaoxiao
        19
    microxiaoxiao  
       94 天前 via Android
    搞个免密码登录到远程服务器的 linux 内网跳板机,然后在内网跳板机上面用 iptables 开白名单。迁移也简单
    microxiaoxiao
        20
    microxiaoxiao  
       94 天前 via Android
    哦,对了。同事的终端可以选择 mobaxterm ,变个启动脚本,这样登录跳板机自动 ssh 到远程服务器。
    Tink
        21
    Tink  
       94 天前   ❤️ 1
    堡垒机
    jfj8848
        22
    jfj8848  
       94 天前   ❤️ 1
    跳板机 堡垒机
    robinfai9
        23
    robinfai9  
       94 天前
    teleport ?
    nothingistrue
        24
    nothingistrue  
       94 天前
    没有私钥不行,因为根据私钥可以设置 pin 码这情况看,客户端每次登录都是要拿私钥重新生成签名的。

    但是有一个方向楼主搞错了,SSH 无密码登录,不是服务器生成密钥对再分发的方向,而是客户端自行生成密钥对后把公钥报给服务器。这个方向是客户端主服务端从,不是服务器端主客户端从。当要在不吊销用户的情况下单独吊销登录凭证的时候,服务器唯一能做的就是 authorized_keys 中移除对应的公钥。所以这里建议要么一用户一人,要么一密钥对一人,不能共享的。
    dacapoday
        25
    dacapoday  
       94 天前
    tailscale magic ssh
    subpo
        26
    subpo  
       94 天前   ❤️ 3
    虽然但是 啥时候 ssh 登录需要复制私钥了?
    是我没看懂问题,还是现在 v2 水平这么奇怪了
    sampeng
        27
    sampeng  
       94 天前
    ssh 还能这么用?你这不就是要一个堡垒机??
    机器不多,你应该是找每个人要自己的公钥啊。。。。是我年纪太大理解错了?
    wooyuntest
        28
    wooyuntest  
       94 天前
    建议堡垒机,还得配合其他的措施才能尽量控制违规登录。
    比如用户通过堡垒机登录成功以后 自己在 authorized_keys 加一个公钥怎么办?
    用户通过堡垒机登录成功以后 自己用 nc socat 等等工具反弹一个 shell 到自己的服务器上 怎么办?
    有好多维度都是需要考虑的。
    11232as
        29
    11232as  
       94 天前
    为啥要分发私钥...
    Xusually
        30
    Xusually  
       94 天前
    为什么要复制私钥?

    在服务器上启用公钥验证登录,把要登陆的用户的公钥都加入到 authorized_keys 里就行了啊。

    私钥怎么会需要分发?
    stoluoyu
        31
    stoluoyu  
       94 天前
    有什么原因导致你不能把你同事的公钥放到服务器的 authorized keys 呢。
    lakehylia
        32
    lakehylia  
       94 天前
    一人一把钥匙啊,你自己生成一堆钥匙,公钥放服务器,一个私钥给一个人。如果要剔除某个人,就把某个人的私钥对应的公钥从服务器移除啊。
    fox0001
        33
    fox0001  
    OP
       94 天前 via Android   ❤️ 1
    @stoluoyu #31
    1 )生产机

    2 )安全意识淡薄。例如:丢了办公室钥匙可以不报告,自己去配一个

    3 )上面要求
    julyclyde
        34
    julyclyde  
       91 天前
    forward agent
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3557 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 47ms · UTC 11:08 · PVG 19:08 · LAX 03:08 · JFK 06:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.