Auto-SSH 手动工作，但不在后台工作

Question

dsollen

Asked: 2019-12-14 08:54:05 +0800 CST2019-12-14 08:54:05 +0800 CST 2019-12-14 08:54:05 +0800 CST

如何防止我对授权密钥的添加被 puppet 覆盖？

772

在我的公司，所有员工都有一个私钥，每年都会更新，他们应该用它来连接虚拟机。这里的 SA 有一个 puppet 脚本，它将查找我的公钥并将其保存到任何 VM 上的 ~/.ssh/authorized_keys 文件中，以便我可以连接到它。

问题是他们正在覆盖authorized_keys 文件。这意味着我添加到文件中的任何其他键也会被覆盖。这让我很沮丧，因为我喜欢能够从盒子 A 连接到盒子 B，主要是为了我可以 SCP，而且我不想把我的个人私钥放在盒子 A 上，因为它是一个盒子，多个用户拥有 sudo 权限。我通常会为每个盒子创建一个新的 ssh 密钥，并将该盒子的公钥添加到其他盒子的授权用户，但这一直被 puppet 擦除。

有什么方法可以在不更改我不维护的木偶脚本本身的情况下防止其他授权密钥被覆盖？

如果做不到这一点，是否有一种简单的方法可以修改 puppet 脚本以不覆盖我的添加，但仍然允许它们更新我的公钥，我可以向 SA 建议？

虚拟机是centos 机器。

1 个回答

Voted

larsks · Answer 1 · 2019-12-14T09:14:02+08:00

有什么方法可以在不更改我不维护的木偶脚本本身的情况下防止其他授权密钥被覆盖？

如果您在服务器上具有管理访问权限，则可以配置sshd为在多个位置查找您的授权密钥。来自sshd_config(5)：

AuthorizedKeysFile

Specifies the file that contains the public keys used for user authentication.
The format is described in the AUTHORIZED_KEYS FILE FORMAT
section of sshd(8).  Arguments to AuthorizedKeysFile accept the tokens
described in the TOKENS section.  After expansion, AuthorizedKeysFile
is taken to be an absolute path or one relative to the user's home
directory.  Multiple files may be listed, separated by whitespace.
Alternately this option may be set to none to skip checking for user
keys in files.  The default is ".ssh/authorized_keys
.ssh/authorized_keys2".

如果做不到这一点，是否有一种简单的方法可以修改 puppet 脚本以不覆盖我的添加，但仍然允许它们更新我的公钥，我可以向 SA 建议？

这也应该很容易。ssh_authorized_key资源有一个标志（默认为purge_ssh_keys关闭），用于控制它是否从authorized_keys文件中清除非托管密钥。

如何防止我对授权密钥的添加被 puppet 覆盖？

模块 i915 可能缺少固件 /lib/firmware/i915/*

无法获取 jessie backports 存储库

如何将 GPG 私钥和公钥导出到文件

我们如何运行存储在变量中的命令？

如何配置 systemd-resolved 和 systemd-networkd 以使用本地 DNS 服务器来解析本地域和远程 DNS 服务器来解析远程域？

dist-upgrade 后 Kali Linux 中的 apt-get update 错误 [重复]

如何从 systemctl 服务日志中查看最新的 x 行

Nano - 跳转到文件末尾

grub 错误：你需要先加载内核

如何下载软件包而不是使用 apt-get 命令安装它？

如何防止我对授权密钥的添加被 puppet 覆盖？

1 个回答

相关问题