我们有一个由 20 多名实习生组成的团队,他们每 3-6 个月加入和离开我们。他们每个人都在 10-15 个共享 AWS 实例上设置了单独的 SSH 登录,其中一些已经运行了多年,另一些则运行了几天或几周。每次,我们都需要管理员创建实例并授权用户和他们的密钥,以及设置他们的角色。当他们离开时,管理员手动删除所有用户,或者在某些情况下只阻止授权密钥以阻止 SSH。
能够自动化此用户和运行实例的 SSH 管理的最佳实践是什么?我们如何审核我们的实例以确保用户不会绕过我们的 SSH 限制?
AskOverflow.Dev
如果您总是有人离开和加入,并且您有点关心安全性,您可能需要考虑与Teleport一起使用多因素身份验证。
Teleport 中的“集群”概念应该让用户在无需干预的情况下自动登录到集群中的新主机。您还可以指定 SSH 密钥的持续时间并轻松跨集群创建/删除用户。
设置 Teleport 可能与使用 Puppet/Chef 一样复杂,因此您可能需要在实施之前准备并优先考虑您的需求和功能列表。
LDAP/AD 支持是 Teleport 的付费功能。
FreeIPA 很可能是您正在寻找的。 http://freeipa.org/page/Main_Page
它允许管理主机和用户,设置到期日期等,所有这些都来自 Web 界面。