Всем привет! Может ли кто-нибудь посоветовать решение для ssh key management? Интересует именно опыт использования. Погуглили вроде бы достаточно по этой теме.

а есть TLDR или статья ?

Я не видел(

Я тоже гуглил этот вопрос где-то год назад. Универсального хорошего решения нету.
Всякие фейсбуки и нетфликсы используют схему с CA и подписью ключей.
https://code.fb.com/production-engineering/scalable-and-secure-access-with-ssh/
Из минусов — это не решает проблему хранения и доставки этих ключей и не работает со всякими PuTTY.
Можно прикрутить домен и хранить ключик где-то в поле AD. Тут основной минус в том, что эта интеграция будет единственной точкой отказа и ты не сможешь попасть на тачку во время проблем с сетью или доменом. Прикрутить можно тоже несколькими способами: через sssd - но это требует что-бы тачка была, в домене либо через параметр  AuthorizedKeysCommand - можно написать скрипт который будет дёргать домен но тогда нужно будет хранить пароль от служебной учётки.

Мы используем свой костыль который работает как демон на всех тачках и периодически дергает ключики из Гитлаба для нужных пользователей.

Teleport?

видел, какая-то она хитрая показалось
вы используете?

В личных целях. В проде испольхуется самописная балалайка с паппетом и лдапом. Работет хуевенько

До Телепорта, как до луны по функциям

Ну и да, надо учитывать, что Телик на винде почти не работает

результаты опроса на текущий момент: в 100% компаний для ssh key management используются самописные костыли 🙂

У волта ещё какое-то решение для ssh есть, можешь попробовать рассказать впечатления

А вообще на эту проблему есть хороший один хороший "контр-вопрос" от админа кернел.орг "Если у вас больше 10 боксов, нахуя вам ходить туда по SSH?"

Здравствуйте, что целесообразно тогда использовать вместо sshkey если у вас +500 хостов и ansible?

LDAP может быть?

Вот дословно его рецепт

"Одно из решений, помимо всяких джапхостов, бастионов и прочего.

Для начала стоит принять следующую мысль: а зачем вообще доступ по SSH, что такого там можно делать. Особенно, когда хостов больше 10. Там где работал были тысячи серверов, делать что-то руками - крайне неэффективная задача. Куда выше КПД, когда у вас инфраструктура как к код.

А теперь к одному из возможных решений:

Поднимаете дженкинс, отдаете доверенному лицу/отделу/т.п. админские права на него. Вам нарезают права только на создание задач. Вы скидываете свои ключи. Далее админ дженкинса проходится и прописывает везде ваш ключи (ансиблом на раз).

В дженкинсе определяете креды (судо, pam и т.п.). Теперь когда вам нужно что-то сделать, вы, к примеру, создаете ansible playbook и оформляете задачу на дженкинсе, дженкинс видит таску, ваши права и выполняет ваш плейбук.


Что из плюсов: ни у кого нет рутового доступа, кроме доверенного лица (у нас был отдел ИБ). Всегда можно посмотреть какие действия были выполнены тем или иным лицом на сервере в логах дженкинса. Если админов много, то вы всегда синхронизированы. Безопасники также могут посмотреть логи на предмет чего-либо."

небольшое, но важное уточнение, если +500 хостов с богатой историей. Т.е. дистрибутивы и версии дистрибутивов linux разные, +solaris и прочие удовольствия. Можно прямо музей unix делать

Мопед не мой, и автору такие замечания делали. Он советовал поискать "желание". У меня та же проблема и сделать все, как написано мне тоже много чего мешает

Но вектор задан