우리 회사에서는 모든 직원에게 매년 업데이트되는 개인 키가 제공되며, 이를 사용하여 가상 머신에 연결해야 합니다. 여기의 SA에는 내 공개 키를 조회하고 이를 연결할 수 있도록 모든 가상 머신의 ~/.ssh/authorized_keys 파일에 저장하는 꼭두각시 스크립트가 있습니다.
문제는 Authorized_keys 파일을 덮어쓰고 있다는 것입니다. 즉, 파일에 추가한 다른 키도 덮어쓰게 됩니다. 주로 SCP를 수행하기 위해 상자 A에서 상자 B로 연결할 수 있기를 원하고 sudo 권한 상자를 가진 여러 사용자이기 때문에 상자 A에 개인 개인 키를 넣고 싶지 않기 때문에 이것은 나를 실망시킵니다. 나는 일반적으로 각 상자에 대해 새 SSH 키를 만들고 해당 상자의 공개 키를 다른 상자의 Authorized_users에 추가하지만 꼭두각시에 의해 계속 삭제됩니다.
내가 유지 관리하지 않는 꼭두각시 스크립트 자체를 변경하지 않고 다른 인증 키가 덮어쓰이는 것을 방지할 수 있는 방법이 있습니까?
실패할 경우 추가 내용을 덮어쓰지 않고 퍼펫 스크립트가 내 공개 키를 업데이트할 수 있도록 퍼펫 스크립트를 수정하는 쉬운 방법이 있습니까? 이를 SA에 제안할 수 있습니까?
VM은 Centos 머신입니다.
답변1
내가 유지 관리하지 않는 꼭두각시 스크립트 자체를 변경하지 않고 다른 인증 키가 덮어쓰이는 것을 방지할 수 있는 방법이 있습니까?
서버에 대한 관리 액세스 권한이 있는 경우 sshd여러 위치에서 인증 키를 찾도록 서버를 구성할 수 있습니다. 에서 sshd_config(5):
AuthorizedKeysFile Specifies the file that contains the public keys used for user authentication. The format is described in the AUTHORIZED_KEYS FILE FORMAT section of sshd(8). Arguments to AuthorizedKeysFile accept the tokens described in the TOKENS section. After expansion, AuthorizedKeysFile is taken to be an absolute path or one relative to the user's home directory. Multiple files may be listed, separated by whitespace. Alternately this option may be set to none to skip checking for user keys in files. The default is ".ssh/authorized_keys .ssh/authorized_keys2".
실패할 경우 추가 내용을 덮어쓰지 않고 퍼펫 스크립트가 내 공개 키를 업데이트할 수 있도록 퍼펫 스크립트를 수정하는 쉬운 방법이 있습니까? 이를 SA에 제안할 수 있습니까?
그것도 쉬워야합니다. 이것ssh_인증 키리소스에는 purge_ssh_keys관리되지 않는 키를 파일에서 지울지 여부를 제어하는 플래그(기본적으로 꺼짐)가 있습니다 authorized_keys.