Задать вопрос
@khristoforov

Как настроить доступ к серверам по SSH ключу без паролей?

Добрый день коллеги. Из вводных .Сам доступ у меня есть. Есть docker контейнер и собственно ему необходимо стучать время от времени на пул серверов. Вроде не проблема генерим ключ на контейнер и копируем его на этот пул и все работает ходим без авторизации. Суть вопроса не в этом. Основная проблема заключается в том что таких контейнеров предполагается 10 может 20 и каждый раз руками это делать ну не очень. Каков алгоритм действий и вообще возможно ли сделать следующий вариант (а если возможно был бы очень рад мануалы какому если поделитесь).
Дано Хосты: SRV1,SRV2,SRV3 Контенеры:DOCC1,DOCC2,DOCC2
Мы генерим ключи на серверах SRV1,SRV2,SRV3
а при обращение из любого контейнера к конкретному хосту мы используем ключ этого хоста и он нас пускает без каких либо контекстных вопросов. контейнеров может быть от 1 до 100 а хостов штук 10-15 и каждый раз на новом контенере рассылать на хосты его ключи чет не очень. Большое спасибо за наводки!
  • Вопрос задан
  • 546 просмотров
Подписаться 2 Средний 6 комментариев
Пригласить эксперта
Ответы на вопрос 3
@dpsz
на клиентской машине:
ssh-keygen -t rsa

sh-copy-id -i ~/.ssh/id_rsa.pub ИМЯ_ПОЛЬЗОВАТЕЛЯ@АДРЕС_СЕРВЕРА

радуемся жизни.
Ответ написан
Комментировать
bziker
@bziker
linux sysadmin
генерите 1 ключ, его закрытую часть держите в каталоге который подключаете на всех докерах, на всех серверах на которые надо зайти по ssh прописываете открытую часть ключа в authorized_keys
Ответ написан
Комментировать
@bigbn
Наверняка вам подойдет ssh механизм авторизации с CA.
1. Создаете CA
2. Устанавливаете CA на сервер(ы) куда ходят ноды.
3. Ключи нод подписываете CA.

Таким образом ключи нод копировать никуда не нужно, нужно их локально подписывать, однако нужно будет настроить использование CA на конечных серверах, туда нужно будет сертификат хотя-бы раз закинуть.
У подхода очень много преимуществ, среди них возможность ограничения жизни подписи ключа, именованные ключи (в логах всегда будет видно кто входил и что делал). Ключи которые были выданы CA считаются доверенными для серверов где этот CA доверенный.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы