Fedora 31 прерывает подключение к Wi-Fi через некоторое время

Есть множество способов сделать это, особенно если вы используете последние версии OpenSSH. Помните также, что вам нужно нечто большее, чем способ их добавления, вам нужен способ их удаления (и быстро — подумайте, если ключ скомпрометирован, человек расстается в плохих отношениях и т. д. ). Ключевое дополнение, на распространение которого уходит день, раздражает; удаление ключа, распространение которого занимает день, является серьезной проблемой безопасности.

Принимая во внимание важность простоты удаления, можно предложить несколько подходов:

1. Похоже, у вас уже есть какой-то способ быстрого создания пользователей. Например, есть большая вероятность, что это LDAP. LDAP может хранить открытые ключи SSH, и вы можете подключить их к sshd, используя параметр конфигурации AuthorizedKeysCommand. Например, если вы используете SSSD, для этого предназначен sss_ssh_authorizedkeys. (См., например, RedHat docs по авторизованным ключам SSSD). Добавление и удаление ключа может быть мгновенным, в худшем случае распространение LDAP обычно занимает несколько секунд. Скорее всего, вы можете полностью автоматизировать это (, и если у вас есть куча пользователей, вероятно, уже есть! ), не требуя вмешательства администратора.

2. Если ваши серверы должны выполнять аутентификацию в автономном режиме (и помимо того, что может делать SSSD ), другим подходом является использование поддержки центра сертификации (CA )в OpenSSH. Это задокументировано в основном в разделе «Сертификаты» справочной страницы ssh -keygen. По сути, вы настраиваете sshd своих серверов так, чтобы они доверяли вашему ЦС и автоматически получали списки отзыва обновлений. Затем вы подписываете открытый ключ клиента с указанным ЦС и передаете сертификат клиенту. В этот момент клиент может войти на все серверы, используя указанный сертификат. Чтобы отменить -авторизацию клиента, вы добавляете его в список отзыва (, как описано в следующем разделе справочной страницы ). Добавление ключа происходит мгновенно, удаление зависит от того, как часто вы обновляете списки отзыва.К сожалению, нет ничего похожего на OCSP для ЦС SSH. Автоматизация (без помощи администратора )добавлений возможна безопасно; удалить легко.

3. Вы могли бы — как вы предлагаете — использовать общий, автоматически -монтируемый (или постоянно монтируемый -; auto -монтирование не требуется )домашние каталоги, поэтому все серверы видят одно и то же ~/.ssh/authorized_keys— но это много накладных расходов, если в противном случае вам не нужен общий $HOME. Добавление и удаление ключей происходит мгновенно или довольно быстро, в зависимости от кэширования. Управление ключами, вероятно, полностью осуществляется пользователем, а не администратором.

   3б. Ульрих Шварц отмечает, что вы можете изменить расположение файла авторизованных ключей пользователя; это не должно быть ~/.ssh/authorized_keys. Таким образом, вы можете совместно использовать каталог, содержащий файлы авторизованных ключей всех пользователей, и не иметь накладных расходов на полностью общие домашние каталоги.

4. Вы можете использовать свой инструмент управления конфигурацией, как предлагает @DopeGhoti. Будьте очень осторожны, чтобы не забыть о хосте, особенно о том, где ключ был добавлен вручную. Вероятно, это означает, что добавление и удаление ключей потребует ручного вмешательства администратора.