это называется DC

В смысле, два дата-центра делать?

конечно, и тогда будет разный сторедж, разные хосты, разные логически сети

хотите вопрос на засыпку?

head -n1 /etc/shadow
root:!::0:::::

head -n1 /etc/shadow
root:*::0:::::

в чём отличие?

почему в первом случае ssh пускает по ключу, а во втором случае не пускает?

и какой правильный метод отключить пароль для юзера

passwd -d root

вообще вот так делает:

head -n1 /etc/shadow
root:::0:::::

здравствуй CVE-2019-5021

в центоси вообще

head -n1 /etc/shadow
root:locked::0:99999:7:::

passwd -d root

head -n1 /etc/shadow
root:::0:::::

passwd -l root отключит

l - это ж lock, не?

ааа, я чет криво понял. ты хочешь безпарольный вход ?

я просто хэш пустого пароля добавлял

а для входа только по ключу - это в sshd надо крутить

да хочу, просто непонятно почему в alpine там !, хотя и в других дистрибутивах там всё по разному,  так же непонятно почему ssh не пускает с ! а с * пускает

хотя в man /etc/shadow различий между ! и * не указанно

ладно накатал issue, посмотрим как ребята отреагируют https://gitlab.alpinelinux.org/alpine/aports/issues/10806

А в каком дистрибутиве по ключу не пускает? В Alpine только?

да, так как после CVE-2019-5021 теперь там !

Хм, забавно.
Вот так говорит man 5 shadow в Centos
If the password field contains some string that is not a valid result of crypt(3), for instance ! or *, the user will
          not be able to use a unix password to log in (but the user may log in the system by other means).
A password field which starts with an exclamation mark means that the password is locked.

При этом, в Centos с ! в shadow ssh пускает по ключу. Но если переключить в /etc/ssh/sshd_config
На UsePAM no, то пускать перестает.
В Alpine по умолчанию UsePAM no и включить просто так не получится
/etc/ssh/sshd_config line 82: Unsupported option UsePAM

В общем, не похоже это на баг, на самом деле.

Перекомпилить с флагом, включающим PAM, и подкинуть инклуды?