私と他のいくつかのためにSSHゲートウェイを設定したいと思います。 このゲートウェイサーバーで承認されていると、すべてのターゲットサーバーにアクセスする必要があります。SSH鍵の移動を避ける
すべてのターゲットサーバに公開鍵をインストールし、ゲートウェイサーバ上のすべてのユーザのホームディレクトリに非パスワードSSH鍵を置くことでこれまで簡単に実行できます。
しかし、私は誰もそれらと一緒にSSHキーを取ることができないようにしたい。ゲートウェイサーバーにロックする必要があり、SSHおよびSCPクライアントユーティリティ以外ではターゲットで認証することはできません。
特定のPCに古い古いDRMロックソフトウェアのようなプライベートキーを保護する方法はありますか?
ありがとうございます!
あなたは手段ではなく、終わりに集中しています。
ユーザーが「自分とSSHキーを取れるようにしたくない」と言うと、実際にはゲートウェイを経由せずに宛先マシンにログインできるようにしたくないサーバ。それは彼らが何か良いことをしない場合、彼らは鍵を持っている場合誰が気にする?
したがって、ゲートウェイサーバのソースIP(アクセスを提供する宛先マシン上の)を持つログインに対してのみ、鍵を承認するようにしてください。具体的にはfrom指令のthis referenceを参照してください。当然ながら、sshd_configのAuthorizedKeysFileディレクティブを変更して、ユーザーが宛先マシンに書き込めない場所(複数のパスを許可するため、独自のキーを追加することを止める必要はありませんが、あなたがしたいように聞こえる)。次に、ゲートウェイサーバーのユーザーが互いにキーを共有している限り、つまりゲートウェイにログインできるユーザーは誰でもキーを持っていなければならず、ネットワークは宛先への送信元IPのなりすましを防ぎますマシン、あなたは大丈夫です。
また、使用しているアプローチを再検討することもできます。ゲートウェイサーバの目的がの場合は、認証(シングルサインオンと集中型アクセス制御)の場合は、ここではじめてログインするのではなく、Kerberosなどの分散認証方式を使用する方がよいでしょう - 方法。
キーに暗号化パスワードを指定して、許可されたユーザーだけが使用できるようにすることができます。あなたは良いol 'Unixのアクセス許可を検討することもできます。 :) – MrGomez
SSHキーは単なるファイルです。人々がそれを読んで使用する権利を持っているなら、それをコピーすることもできます。ここで何を求めているのか考えてみてください。しかしあなたができることは、すべてのユーザーに個別のキーを生成することです。誰かがあなたのマシンにログインした場合、少なくともそれが誰であるかを確認することができます。また、そのように単一のキーを取り消すこともできます。 –