У меня есть сервер, который время от времени автоматически обновляет набор привилегированных файлов (например, ключи сертификатов, конфигурации и т.д.). Необходимо сохранить эти файлы в других системах локальной сети. Я примерно знаю, как это сделать, но я не знаю деталей реализации.

Удаленные команды для получения и сохранения файлов (выполняемые на этих других серверах локальной сети) могут восприниматься как статические или очень редко изменяемые и могут быть жестко запрограммированы, что означает, что они идеально подходят для использования с авторизованными ключами SSH, но многие необходимо соблюдать осторожность, так как файлы, которые они получают и хранят, по-прежнему имеют привилегии и сохраняются в пути, иначе только для чтения с правами root. Все задействованные системы - FreeBSD (+ одна OpenBSD).

Я визуализирую такой процесс:

  1. Сгенерируйте пару ключей с помощью ssh-keygen , подходящую для локального SSH (не нужно работать с какой-либо общедоступной сетью или другими системами или функциями).
  2. Создайте привилегированную учетную запись PRIV_USER на всех системах, у которых нет доступа вообще, кроме как через sshd (обычно требуются либо привилегии su, которые должны быть безопасными для фиксированного сценария, либо минимальный доступ для записи в определенные жестко запрограммированные местоположения, обычно читаемые / записываемые только для пользователя root, поскольку для этого необходимо сохранить полученные файлы).
  3. Настройте раздел Authorized Keys в sshd на всех других системах, который при подключении как PRIV_USER автоматически получает tar-архив файлов и распаковывает их в локальную файловую систему, а затем отключается.
  4. В отправляющей системе, когда файлы должны быть обновлены удаленно, запустите короткий скрипт, который создает архив tar из файлов для отправки, а затем подключается к удаленной системе (системам) по очереди как PRIV_USER , отправляет файлы через SSH , отмечает успех / неудачу в консоли и выходит.

Я хотел бы избежать нарушения безопасности, получая их неправильно, и я ранее не использовал для этой цели Авторизованные ключи и не должен был генерировать свои собственные внутренние пары ключей для подобных целей, а также не создавал ограниченные привилегированные учетные записи. Так что я могу сделать это немного неправильно.

Какие правильные команды я должен использовать для минимальной базовой "не испорченной" реализации этой функции? :)

|источник

1 ответ1

0
  1. ssh-keygen для создания локального ключа
  2. создать новый сервер (ы)
  3. ssh-copy-id для root @ newserver
  4. создать ANSI репозиторий PlayBook нужной конфигурации (включая только пароль sshd)
  5. запустить ansible-playbook
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .