多人同时运维一批服务器有什么方便安全的方案

2015-04-20 16:09:43 +08:00

sheaven

公司有很多客户的服务器需要运维，运维人员又多，现在的通过ssh远程方案太不安全，特别有某个员工离职需要修改很多帐号信息，然后传递来传递去容易泄露。
目前我的想法是所有服务器统一用私钥方式登陆服务器，每个人有自己的证书，证书有过期时间，过期后要重新申请，然后所有服务器关掉通过密码方式登陆ssh。

现在就这个想法有几个问题
1.服务器上面同一个帐号可以分配多个公钥么。
2.生成公钥私钥对的时候可以设置过期时间么
3.这个方案有什么好的思路通过开发一套系统来实现（如：授权生成公钥和私钥，然后分发给某些服务器。清理某个员工权限的时候自动去对应服务器删除公钥等）

4531 次点击

所在节点

Linux

15 条回复

ahcat

2015-04-20 16:11:37 +08:00

HAC 堡垒机成熟的解决方案，还带审计。

fxxkgw

2015-04-20 17:20:49 +08:00

kerberos？
只要设置了kerberos账号密码和期限，离职时删掉kerberos账户。
登录时用kerberos

akira

2015-04-20 17:43:25 +08:00

linode 的gateway 思路不错，不过不知道他是用什么实现的

unixbeta

2015-04-20 17:49:56 +08:00

ad或ldap
交给我来搞吧

lshero

2015-04-20 18:09:09 +08:00

我司弄的很费劲 SSL VPN 动态令牌甲方的身份认证系统还有堡垒机
线上查错和长征一样费劲

如果没有审计需求的话，最省事的办法就是服务器全放内网SSH只侦听内网的22端口，离职了后先把VPN帐户禁用了就好了

ryd994

2015-04-21 00:07:52 +08:00

划清责任范围，一台机最多三个人能动
乱七八糟的容易相互扯皮

sheaven

2015-04-21 01:03:26 +08:00

现在的问题是有NN家客户，每个客户又有很多服务器，so堡垒机方案肯定pass，vpn方案倒是可以考虑，不知是否有每个客户部署一台vpn服务器然后集中管理账号的方案

helijia21

2015-04-21 02:16:23 +08:00

3A 服务器

9hills

2015-04-21 03:18:02 +08:00

NNN家用户和堡垒机有啥冲突？我厂几十个机房也是堡垒机
@sheaven

ryd994

2015-04-21 04:07:15 +08:00

@sheaven 一台vpn服务器都行
用radius，每个用户的IP段不同
剩下的交给防火墙
radius加减用户也很方便

janxin

2015-04-21 08:06:53 +08:00

堡垒机的好处是方便审计，万一出什么问题一定能溯源
VPN方便是方便了，出问题肯定扯皮，安全肯定算不上。
如果要是那么麻烦，直接用ssh验证码就可以，vpn都省了，客户直接在网页可以看到验证码，用Google Auth之类的生成就行....客户自己管理自己的网站账号密码

nexpro

2015-04-21 10:29:04 +08:00

目前是通过salt来管理公钥

也可以尝试采用FreeIPA

tuzky

2015-04-21 11:15:38 +08:00

买几个RSA令牌的配套服务就好了。
另外对公网的话一定要堡垒机。

yiyiwa

2015-04-26 15:44:16 +08:00

我这边是ad和389-ldap同步的, 然后只有一个账号, 全部的东西都是这个账号.

fuge

2015-05-15 12:09:57 +08:00

都是推销堡垒机的

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/184981

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.