Badam możliwe rozwiązania w zakresie dostępu do serwerów naszej firmy. Firma dystrybuuje serwery linux, niektóre z nich mają dostęp do publicznego adresu IP, inne są izolowane w sieciach prywatnych. Problemem jest kontrolowanie naszego dostępu SSH do tych serwerów. (Klient nie ma dostępu)
Inżynierowie z naszej firmy potrzebują dostępu do tych serwerów w celu konserwacji itp. Jednak jeśli inżynier opuści firmę, potrzebujemy sposobu, aby uniemożliwić mu dostęp do tych serwerów.
Standardowe pary kluczy nie są tak naprawdę opcją, ponieważ nie możemy obejść tysięcy prywatnych serwerów w sieci, usuwając i dodając pary kluczy za każdym razem, gdy inżynier opuszcza lub zostaje zatrudniony. Podobnie z hasłami. Ograniczanie dostępu przez IP nie jest realistyczną opcją, ponieważ serwery muszą być dostępne z różnych źródeł, w zależności od zasad sieciowych klientów.
To sprawiło, że pomyślałem o jakiejś formie dynamicznego uwierzytelniania SSH, takiej jak używanie HMAC w aplikacjach REST. Zasadniczo inżynier uzyskuje dostęp do centralnego serwera, który generuje zestaw poświadczeń, które są ważne przez określoną liczbę sekund dla określonego serwera opartego na sygnaturze. W ten sposób, gdy inżynier opuszcza firmę, możemy po prostu cofnąć jego dostęp do centralnego serwera generującego podpisy.
Czy ktoś może zobaczyć problem z tym podejściem? Czy coś takiego już istnieje, czy będę musiał to napisać?
źródło