SSH公钥身份验证 - 可以为多个用户使用一个公钥? -- ssh 领域 和 users 领域 和 kickstart 领域 服务器管理 相关 的问题

SSH public key authentication - can one public key be used for multiple users?


简体版||繁體版
2
vote

问题

中文

我想要使用KickStarts部署RHEL5服务器,用于安全性,我只想允许远程客户端作为用户的开发人员(我已经配置了SSHD Config以禁用Root Access)来SSH。我有几个关于设置这个的问题:

  • 在登录服务器时,命名为"开发人员" 的本地用户是否需要在每个客户端计算机上? (我不认为它确实如此,但以为我会在它的时候确认)
  • 在部署服务器之前,我能够使用每个客户端的RSA公钥的条目设置授权_keys文件?用户实际上何有重要信息 ssh -p 22020 Developer@server (即,这会影响授权_keys文件中所需的任何信息?)
  • 是客户端的已知服务器所需的服务器的公钥(我希望这个工作每个时间而没有提示任何东西)?
  • 用户'开发人员'是否需要具有〜/ .ssh的主目录,或者我只能使用不同目录的键配置SSHD服务器? (开发人员用户无需访问主目录中的任何信息,只需在名为'/ var / tasks'的文件夹中的文件?
英文原文

I am wanting to deploy a RHEL5 server using Kickstarts and for security I only want to allow remote clients to ssh to the server as the user 'Developer' (I have already configured the sshd config to disable root access). I have a few questions about setting this up:

  • Does a local user named 'Developer' need to be on each client machine when logging into the server? (I don't think it does but thought I would just confirm while im at it)
  • Before deploying the server, am I able to just setup the authorized_keys file with an entry for each client's RSA public key? And does it matter what user actually types in say ssh -p 22020 Developer@server (i.e. will this affect any information required in the authorized_keys file?)
  • Is the public key of the server required in the known_hosts file of the client (I want this to work every time without being prompted for anything)?
  • Does the user 'Developer' require a home directory with ~/.ssh or can I just configure the sshd server with keys from a different directory? (The Developer user does not need to access any information in a home directory, just files in a folder called '/var/Tasks'?
        

回答列表

10
 
vote
vote
最佳答案
 

首先,只有允许用户与"开发人员" 的用户名连接,没有安全益处。如果您希望用户对同一组文件进行共享访问,请将它们放在同一UNIX组中,并由该组拥有/ var /任务。单独的用户名允许审核,更好的故障排除等。

为您的其他问题:

  • 客户端用户名并不重要。连接时,用户可以特定于他们想要使用的远程用户名: ssh username@example.com
  • 您可以使用符号填充授权_keys,因为您具有磁盘空间,并且可以在部署服务器之前执行此操作。此外,无论哪个PortNumber SSHD正在侦听,也会读取相同的授权_keys文件。
  • 是的,服务器的公钥将存储在已知_hosts中,第一次连接将提示用户接受远程键。这部分是使SSH能够检测中间人攻击的东西,如果用户只是盲目接受任何键,SSH变得容易受到中间人的攻击。如果您有足够的访问客户端计算机,则可以将远程服务器键指纹添加到每个客户端的已知_hosts。这是你避免这个提示的唯一方法。
  • 您可以使用sshd_config中的授权keysfile关键字指定在您希望SSHD期间查找服务器上的键的位置。我把键放在 /etc/ssh/keys/%u 其中%u是一个带有用户名的文件,我确保用户只有读取访问。
 

First, there's no security benefit to only allowing users to connect with a username of "developer". If you want users to have shared access to the same group of files, put them in the same UNIX group and have /var/Tasks be owned by that group. Seperate usernames allow for auditing, better troubleshooting, etc.

As for your other questions:

  • Client usernames are not important. When connecting, users can specific which remote username they want to use: ssh username@example.com
  • You can populate authorized_keys with as many user keys as you have diskspace for, and you can do it before the server is deployed. Also, the same authorized_keys file is read regardless of which portnumber sshd is listening on.
  • Yes, the server's public key will be stored in known_hosts and first time connections will prompt the user to accept the remote key. This part is what makes SSH able to detect man-in-the-middle attacks, and if users just blindly accept any key, SSH becomes vulnerable to man-in-the-middle attacks. If you have sufficient access to the client machines, you can add the remote servers key fingerprint to each client's known_hosts. That's the only way you can avoid this prompt.
  • You can use the AuthorizedKeysFile keyword in sshd_config to specify where you want sshd to look for keys on the server. I put keys in /etc/ssh/keys/%u where %u is a file with the users name and I make sure the user only has read-access.
 
 
 
 

相关问题

1  Rhel 5.3 kickstart - 如何在Workstation文件夹中指定单个包的位置?  ( Rhel 5 3 kickstart how specify location of individual package in workstation f ) 
我在安装期间继续获得"包裹不存在" 错误。 我制作了一个kickstart ISO,可以为C ++软件发布创建RHEL 5.3构建机的无人值守安装。它从内部Web服务器中拉动kickstart配置文件。这很方便;它使得易于测试和修改,而无需制作新ISO。如果我可以将其工作,我计划将其检查到版本控制。 无论如何,RPM...

-1  CentOS7 Kickstart问题  ( Centos7 kickstart issue ) 
我准备了一个 ks.cfg 文件,并用 ksvalidator验证了它,但似乎并没有做到我希望它在做什么。 例如 - 尽管指定文本选项,它仍然进入图形模式。接下来它停止在语言部分,只是这样我会点击"继续" ,似乎没有选择我指定的语言设置。 输入图像描述此处 之后,它会停止"安装摘要" 部分,我需要打开"系统" 设...

1  kickstart文件的更改不会在鞋带中生效  ( Changes in kickstart file do not take effect in cobbler ) 
我正在使用鞋垫安装SLES 11 SP2,它一直在罚款。最近我通过将18GB到36GB的root分区的大小更改为36GB来修改kickstart文件。令我惊讶的是,未发生修改 - 鞋底鞋创建了一个大小为18GB的根分区。我尝试删除配置文件,重命名它,但没有成功。 我完全树桩,因为鞋匠从鞋匠获得18GB的位置。是否有某...

6  脚本安装vs cloning  ( Scripted install vs cloning ) 
克隆VS脚本安装的缺点是什么(使用踢踏板/木偶)? 我读了大量的pro-scripted安装意见,其中克隆被认为是由于变化的硬件而被视为不可靠的方法。 在我的情况下,硬件很统一,因为我们使用相同的供应商,即使它改变,调整克隆图像设置的努力(我使用systemimager)并不是很难。 它也更快,大约需要5分钟的脚本安...

3  Pycurl无法在CentOS 6.2 Kickstart安装期间解析“CDROM:SR0”  ( Pycurl couldnt resolve cdromsr0 during centos 6 2 kickstart installation ) 
我正在尝试通过kickstart安装CentOS 6.2,我正在使用库存最小ISO和自动生成的Anaconda-ks.cfg。安装完成分区硬盘驱动器后,我收到错误消息,说"无法读取包元数据" ,而/tmp/anaconda.log有以下行: ERROR: Error downloading treeinfo fi...

0  Linux PXE Build无法通过HTTP下载KickStart文件  ( Linux pxe build unable to download kickstart file over http ) 
我正在努力在我们的环境中设置基于PXE的构建系统。 简短描述如何工作是,服务器将启动到网络中,从DHCP服务器获取IP地址和PXE服务器详细信息,然后我们在PXE菜单中选择重建选项。然后,它应该通过HTTP下载kickstart文件。这是问题,我注意到,在我几个测试服务器中,此步骤失败,因为它无法下载kickstar...

1  kickstarting ubuntu 14.04:如何从我的ks.cfg创建一个“EFI引导分区”?  ( Kickstarting ubuntu 14 04 how do i create an efi boot partition from my ks cf ) 
我是pxe引导一个服务器,该服务器在RAID-1中配置了两个4GB驱动器,以便启动Ubuntu Server 14.04的实例。我是pxe在efi模式下启动,并且安装在分区上收到此错误之前运行正常: 磁盘上使用的分区表格式需要您 为引导加载程序代码创建单独的分区。这个分区 应该用作"EFI靴子分区" ,应该...

3  CentOS 5.3的kickstart文件的示例  ( Examples of kickstart files for centos 5 3 ) 
锁定。这个问题及其答案是锁定,因为问题是off-top,但具有历史意义。它目前没有接受新的答案或互动。 我想使用Kickstart将CentOS安装为服务器操作系统。我通常知道您可以安装系...

0  如何远程重新安装redhat操作系统?  ( How do i remote reinstall a redhat os ) 
如何远程重新安装Redhat 5的最佳解决方案? 要求: 我们有很多服务器。 我们希望为每台计算机保留"静态IP" 配置。 (也是用户)。 我们有一个自定义防火墙配置。 我们希望在安装后没有更改。 我希望以简单且快速的方式在大规模上实现这一目标。 p.s。谢谢你的伟大网站! ...

1  无人看管的Fedora Kickstart,它适用于CD / DVD *和* USB  ( Unattended fedora kickstart that works as cd dvd and usb ) 
可以使用一个kickstart文件创建一个ISO,当写入CD / DVD时,将正常工作,并作为USB? 据我所知,我需要两个单独的版本,因为在isolinux.cfg(ks =)和ks.cfg中需要修改(因为我访问%post中的安装媒体) 似乎奇怪的isolinux.cfg默认为安装介质的根目录,并且kickstar...

0  在Windows中添加Kickstart到CD  ( Adding kickstart to a cd in windows ) 
我想将kickstart文件添加到Fedora DVD以进行自动安装。我不访问Linux盒子,只是Windows。如何默认ISO以添加kickstart文件? ...

6  CentOS / Redhat Kickstart脚本CDROM安装点  ( Centos redhat kickstart script cdrom mount point ) 
尝试从自定义CentOS 7中复制一些文件,将ISO安装到 %post 部分中的新安装。 我已经尝试过所有这些: cp /dev/cdrom/scripts/myscript.sh /etc/myscripts/myscript.sh cp /dev/cdrom:/scripts/myscript.sh /etc...

1  使用Kickstart将Rhel / CentOS安装在FTP上  ( Installing rhel centos over ftp using kickstart ) 
我有以下命令用192.168.122.1的虚拟VSFTP服务器安装CentOS: virt-install --name kickstart.example.com --ram 768 --disk path=/var/lib/libvirt/images/kickstart.example.com.img,s...

2  Kickstart%发布问题  ( Kickstart post issue ) 
我配置了一个kickstart配置文件,我想创建一些脚本文件。 我这样做: eth0: 10.255.2.191 netmask 255.255.255.0 default gateway 10.255.2.1 broadcast 255.255.255.0 0 在PXE引导和安装过程之后,当我检查文件时,所...

2  kickstart,通用安装脚本和默认密码  ( Kickstart universal install script and default passwords ) 
我想使用kickstart进行通用的自动安装脚本,该脚本将放在CD上并与标准DVD安装程序一起使用,即该脚本的用户需要追加<代码> ABCDefghijklmnabCdefghijklmn0 启动选项,然后安装例如Fedora在机器上仅询问密码。 似乎标准做法是使用它们中的密码(或密码哈希)生成kickstart脚本...

5  XenServer 6.2上的Rhel克隆(CentOS,Scientific,Cern)网络安装  ( Rhel clones centos scientific cern network installation on xenserver 6 2 ) 
我正在尝试通过网络在XenServer 6.2上安装一个科学的Linux Cern 6访客,通过网络引导,但它挂在消息中: mounting /tmp as tmpfs... done 我没有使用最等效的模板(CentOS 6模板)来安装此VM,因为我们想通过我们的PXE服务器安装它,因为它获取我们的Kic...

2  Rhel6踢踢开始失败了内核恐慌 - 而不是同步错误  ( Rhel6 kick start fails with kernel panic not syncing error ) 
在一个全新的(只有拆箱)戴尔精度7500计算机上,我开始使用红色帽子启动盘和http地址托管的kickstart文件的kickstart。 有以下完整错误的图片与跟踪信息 我相信这与与内核恐慌错误有关的其他问题不同。 我想知道的是 是什么原因导致内核恐慌 如何修复这一点,使得kickstart完成 ...

8  Red Hat Server最小安装  ( Red hat server minimal install ) 
在虚拟化Red Hat服务器的农场中,有需要以出于安全原因安装最小系统。最小的安装有几个优点(甚至没有安全相关): 较少曝光于漏洞(如果您不需要它,请不要安装它) 更好的更新过程(更新的包少,打破系统的更少概率) 更好的性能(没有不需要的守护进程) 您更容易越少的软件是硬化系统 不幸的是,这并不容易,因为红帽上的...

0  Rhel Kickstart与外部DVDROM驱动器  ( Rhel kickstart with external dvdrom drive ) 
嗨 我有一个带有CDROM驱动器的旧Dell PowerEdge服务器。我附上了一个USB DVDROM和USB棒,所以我可以从DVD不加载CDS: - ) 我可以从DVDROM中的RHEL媒体引导,并将安装程序指向USB KS.CFG。这是作品,但ks.cfg脚本中有CDROM关键字。然后安装停止并要求RHEL媒体...

1  kickstart安装:无法读取包元数据  ( Kickstart installation unable to read package metadata ) 
我正在尝试使用HTTP作为安装源使用HTTP安装CentOS操作系统。 kickstart服务器和已安装的服务器均在同一台计算机上的VM上运行。 在Anaconda System Installer启动时,它失败了以下消息: 我尝试安装两个不同版本的CentOS(5.5和5.2),它们都通过了CDROM媒体测试...

5  在KickStart安装期间修改XFS文件系统创建参数  ( Modify xfs filesystem creation parameters during kickstart installation ) 
我正在简化一系列EL6.2(RHEL,CentOS,SL等)系统的kickstart过程。我宁愿在增长/数据分区使用XFS超过ext4。但是,我希望有些控制通过传递给 mkfs.xfs 的选项,以创建分区。我通常在建立服务器后创建此分区,以便我有这个控件。但这应该真正自动化。 创建手动XFS分区400GB时,我通常会...

9  kickstart文件中的内容将桌面GUI设置为默认值(RunLevel 5)?  ( What in a kickstart file sets the desktop gui as default runlevel 5 ) 
我正在使用科学的Linux 6,我正在安装以下与桌面相关的包组: @basic-desktop @desktop-platform @general-desktop @x11 但是,安装后, /etc/inittab 仍然设置为多用户控制台运行vel( id:2:initdefault: )。 我错过了什么...

3  CentOS 6 - 如何在KickStart安装期间修改iptables?  ( Centos 6 how to modify iptables during kickstart install ) 
我在自定义的kickstart期间修改了iptables配置时遇到了麻烦的配置.Packstart进程正在最小的ISO映像上安装多个自定义RPM。其中一个RPM尝试修改iptables规则但在anaconda完成安装之后,原始默认规则仍然设置在/ etc / sysconfig / iptables中。 我尝试过使用...

1  如何将额外的路线添加到Anaconda Kickstart?  ( How can additional routes be added to anaconda kickstart ) 
我经常建立CentOS7服务器并具有一些特殊的网络要求。 例如,我可能希望在无法通过我的正常子网或默认网关到达无法达到的私有范围内的名称服务器或存储库。 想象一个带有以下内容的kickstart: network --device eth0 --bootproto static --ip 192.168.0.10...

0  用“没有选择的设备”键触摸RHEL7 VM摊位  ( Kickstarting rhel7 vm stalls with no device selected ) 
我一直在使用 ashgar ghori的rhel7学习指南并击中了一个小SNAG我无法找到解决方案。 使用以前工作的kickstart文件,每当我将它用于新服务器时,我被带到了安装摘要屏幕,它指示 Installation Destination 部分下的 abcdefghijklmn0 。< / p> 我搜索了一个...

相关问题

1  Rhel 5.3 kickstart - 如何在Workstation文件夹中指定单个包的位置? 
-1  CentOS7 Kickstart问题 
1  kickstart文件的更改不会在鞋带中生效 
6  脚本安装vs cloning 
3  Pycurl无法在CentOS 6.2 Kickstart安装期间解析“CDROM:SR0” 
0  Linux PXE Build无法通过HTTP下载KickStart文件 
1  kickstarting ubuntu 14.04:如何从我的ks.cfg创建一个“EFI引导分区”? 
3  CentOS 5.3的kickstart文件的示例 
0  如何远程重新安装redhat操作系统? 
1  无人看管的Fedora Kickstart,它适用于CD / DVD *和* USB 
0  在Windows中添加Kickstart到CD 
6  CentOS / Redhat Kickstart脚本CDROM安装点 
1  使用Kickstart将Rhel / CentOS安装在FTP上 
2  Kickstart%发布问题 
2  kickstart,通用安装脚本和默认密码 
5  XenServer 6.2上的Rhel克隆(CentOS,Scientific,Cern)网络安装 
2  Rhel6踢踢开始失败了内核恐慌 - 而不是同步错误 
8  Red Hat Server最小安装 
0  Rhel Kickstart与外部DVDROM驱动器 
1  kickstart安装:无法读取包元数据 
5  在KickStart安装期间修改XFS文件系统创建参数 
9  kickstart文件中的内容将桌面GUI设置为默认值(RunLevel 5)? 
3  CentOS 6 - 如何在KickStart安装期间修改iptables? 
1  如何将额外的路线添加到Anaconda Kickstart? 
0  用“没有选择的设备”键触摸RHEL7 VM摊位 



© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有