Ну включи фантазию
Ведь это хозяйство можно автоматизировать.

1 - определяешь какой функционал будет использоваться, какие команды нужны, затем разбиваешь из на группы.

2 - создаёшь sudoers файл для каждой группы

3 - автоматически создаёшь нового пользователя, включаешь его в нужные группы

4 - запрашиваешь пароль у vault, отдаёшь пользователю.

5 - делаешь автоматизированный процесс, все от тебя отстают.

6 - делаешь бакапы по чаще.

спасибо, ты прям сразу всю рабочую схему описал целиком. ваулт сервер по ресурсам сильно жрёт? с zabbix на 1 хосте поместится?

Не сильно. Но его нужно отдельно от всех держать.

Коллеги, пришел к вам с вопросом. Что вы используете для балансировки запросов в БД? Желательно что-то очень надежное

К волту очень рекомендуется прикручивать консул бэкенд и держать всё это дело в тройной реплике.

не перебор? у меня задача то простая в целом. 5-6 админов. 50+ серверов (пока что). зачем ещё реплики?

Это избыточно для маленьких проектов

Затем, что у тебя волт получается очень критичной инфрой, раз там будет задача аутентификации. Если просрёшь - просрёшь все доступы

на такой факап всегда будет учетка с полными sudo правами с заходом по ключу. который бекапится норм.

Ну то есть дырой будешь латать кривую инфраструктуру? Топ решение

так задача то простая. зачем такой оверхед?

Ну не, делайте как хотите, я лишь порекомендовал

У него не такие большие объёмы, он может и в файловой системе хранить.
Главное сделать proof-of-concept. Показать, что это работает и экономит ресурсы и главное создаёт прозрачность в этом процессе.

Затем уже после одобрения и пробного периода сделает все по уму, когда ему выделят бюджет

(не сделает)

Волт+консул поднять - это надо минут 15

Зато это будет сразу очень с неплохим НА

Challenge accepted -

По моему, есть менеджеры ссх сессий, которые умеют после логина делать sudo с паролем

Ваулт тут избыточен

Волт предоставляет ОТР