RR
В этом же чате вроде пару месяцев назад народ соглашался что ссх ключи должны быть динамические
Size: a a a
2019 July 12
RR
В наше время
С
чем обосновано? где генерировать? как безопасно передавать пользователю?
RR
Кидались какие то опенсорс тулзы
RR
И не очень опенсорс
V
главное потом (не забыть) еще отозвать ключ, если доступ нужно заблокировать. В АД это просто блок учетки...
RR
Ну у всех же думаю 2fa для ссх?
С
что вы предлагаете считать вторым фактором в этом случае?
RR
SP
Ну у всех же думаю 2fa для ссх?
Как это противоречит LDAP, если не секрет?
V
Ну у всех же думаю 2fa для ссх?
Ну, вопрос. Думаю далеко не у всех. Да и интересно послушать на базе чего, как раз. И как сделать "удобно", когда тебе надо на 10 серверов конфигурацию разлить, скажем, балансера и т п.
Или собрать инфу где что запущено, скажем. Или что-то удалить лишнее (место забилось)
Или собрать инфу где что запущено, скажем. Или что-то удалить лишнее (место забилось)
V
В этом же чате вроде пару месяцев назад народ соглашался что ссх ключи должны быть динамические
А кто-то это использует? Есть доклад/готов рассказать?
А то "стильно модно", но никто не использует))
А то "стильно модно", но никто не использует))
V
Теретически из этого можно собрать доклад - благо, какой-то кусок уже есть (на DevConf озвучивал, вроде слушателям было интересно, но по времени было поздно + малая сцена = крайне немного желающих послушать)
Доклад было бы круто, если это работает и жизненные кейсы покрывает) могу описать вводную, и сделаем доклад. Если кубики сойдутся, будет и для конфы
SP
В этом же чате вроде пару месяцев назад народ соглашался что ссх ключи должны быть динамические
Во-первых, кому они должны, т.е. какая такая модель угроз?
Во-вторых, "динамические" - это одноразовые или легко и непринуждённо сменяемые централизованно?
ssh-ключи - это асимметричное шифрование, а оно по своей природе требует отдельного доверенного канала для передачи приватного ключа (сюрприз-сюрприз!)
Во-вторых, "динамические" - это одноразовые или легко и непринуждённо сменяемые централизованно?
ssh-ключи - это асимметричное шифрование, а оно по своей природе требует отдельного доверенного канала для передачи приватного ключа (сюрприз-сюрприз!)
AA
Вероятно имелся ввиду этот способ
https://www.vaultproject.io/docs/secrets/ssh/index.html
Там были какие-то динамические ключи но теперь они деприкейтед.
Теперь есть одноразовые пароли и подпись ключей СА.
https://www.vaultproject.io/docs/secrets/ssh/index.html
Там были какие-то динамические ключи но теперь они деприкейтед.
Теперь есть одноразовые пароли и подпись ключей СА.
С
Ну у всех же думаю 2fa для ссх?
а у вас?
AA
Почему вы именно ldap хотите?
Нужно заморачиваться подключать линуксы к домену, писать какую-то админку для пользователей чтобы они могли удобно свои ключи загружать.
Нужно заморачиваться подключать линуксы к домену, писать какую-то админку для пользователей чтобы они могли удобно свои ключи загружать.
AA
Вроде у маленьких компаний никакого лдап нет, у них есть какой-нибудь gsuite.
У больших этот лдап контролируют какие-нибудь офисные админы, которые к проду доступа возможно вообще не имеют.
У больших этот лдап контролируют какие-нибудь офисные админы, которые к проду доступа возможно вообще не имеют.