Как настроить доступ к серверам по SSH ключу без паролей?

Question

[khristoforov]

Добрый день коллеги. Из вводных .Сам доступ у меня есть. Есть docker контейнер и собственно ему необходимо стучать время от времени на пул серверов. Вроде не проблема генерим ключ на контейнер и копируем его на этот пул и все работает ходим без авторизации. Суть вопроса не в этом. Основная проблема заключается в том что таких контейнеров предполагается 10 может 20 и каждый раз руками это делать ну не очень. Каков алгоритм действий и вообще возможно ли сделать следующий вариант (а если возможно был бы очень рад мануалы какому если поделитесь).
Дано Хосты: SRV1,SRV2,SRV3 Контенеры:DOCC1,DOCC2,DOCC2
Мы генерим ключи на серверах SRV1,SRV2,SRV3
а при обращение из любого контейнера к конкретному хосту мы используем ключ этого хоста и он нас пускает без каких либо контекстных вопросов. контейнеров может быть от 1 до 100 а хостов штук 10-15 и каждый раз на новом контенере рассылать на хосты его ключи чет не очень. Большое спасибо за наводки!

Comments

[mureevms]

Откройте для себя docker exec и забудте про ssh внутри контейнера

[khristoforov]

mureevms, как он мне поможет в подключение к к серверам (не контенерам)

[AUser0]

Для начала - определитесь, доступ в контейнеры, или в сервера? А то в вопросе - и так, и так...

P.S.И напишите скрипт для копирования публичной части ключя на все сервера.

[mureevms]

khristoforov, никак. Если надо к серверам, то ключи и ssh. Если к контейнерам - docker exec

[shurshur]

Зачем использовать много ключей? Генерим один ключ и со всех клиентских хостов ходим с его помощью на сервера, на серверах, соответственно, один ключ в authorized_keys.

[pfg21]

имхо тут не совсем правильное понимание ключей доступа :) это не пароли.
не "на каждой целевой машине генерится ключ и потом распихивается по участникам для доступа", как пароль а наоборот.

на каждой рабочей машине генерится связка ключей, в комент впихивается понятное описание обычно "кто, откуда" т.е. "lexx_rabota" "vpupkin_noutbuk_2" и т.д. а уже открытые ключи этих связок распихиваются по машинам, куда им разрешен доступ, с генерированием соответствующих юзверей или нет.

открытые ключи можно сразу вписывать в файл /home/%нужный юзверь%/.ssh/authorized_keys при создании докер-контейнера и они сразу будут иметь доступ.

Answer 1

[dpsz]

на клиентской машине:
ssh-keygen -t rsa

sh-copy-id -i ~/.ssh/id_rsa.pub ИМЯ_ПОЛЬЗОВАТЕЛЯ@АДРЕС_СЕРВЕРА

радуемся жизни.

Answer 2

[Кирилл Маслов]

генерите 1 ключ, его закрытую часть держите в каталоге который подключаете на всех докерах, на всех серверах на которые надо зайти по ssh прописываете открытую часть ключа в authorized_keys

Answer 3

[bigbn]

Наверняка вам подойдет ssh механизм авторизации с CA.
1. Создаете CA
2. Устанавливаете CA на сервер(ы) куда ходят ноды.
3. Ключи нод подписываете CA.

Таким образом ключи нод копировать никуда не нужно, нужно их локально подписывать, однако нужно будет настроить использование CA на конечных серверах, туда нужно будет сертификат хотя-бы раз закинуть.
У подхода очень много преимуществ, среди них возможность ограничения жизни подписи ключа, именованные ключи (в логах всегда будет видно кто входил и что делал). Ключи которые были выданы CA считаются доверенными для серверов где этот CA доверенный.