如何防止我对授权密钥的添加被木偶覆盖?
在我的公司,所有员工都会得到一个私钥,每年都会得到更新,他们应该用它来连接VM。这里的SA有一个傀儡脚本,它将查找我的公钥,并将它保存到任何VM上的~/..ssh/authorized_ key文件中,这样我就可以连接到它了。
问题是他们正在覆盖authorized_keys文件。这意味着我添加到文件中的任何其他键也会被覆盖。这让我很沮丧,因为我喜欢从方框A连接到框B,主要是为了我可以使用SCP,而且我不想把我的私钥放在框A上,因为它是一个多用户都有sudo权限的盒子。我通常会为每个框创建一个新的ssh键,并将该框的公钥添加到其他框authorized_users中,但是这个选项一直被木偶擦除。
有什么方法可以防止额外的授权密钥被覆盖,而不改变木偶脚本本身,而我没有维护?
如果做不到这一点,那么木偶脚本可以很容易地被修改以不覆盖我的添加内容,但仍然允许它们更新我的公钥,我可以向SA建议吗?
VM的是centos机器。
回答 1
Unix & Linux用户
发布于 2019-12-13 17:14:02
有什么方法可以防止额外的授权密钥被覆盖,而不改变木偶脚本本身,而我没有维护?
如果服务器上有管理访问权限,则可以将sshd配置为在多个位置查找授权密钥。来自sshd_config(5):
AuthorizedKeysFile指定包含用于用户身份验证的公钥的文件。该格式在sshd(8)的AUTHORIZED_KEYS文件格式部分中进行了描述。AuthorizedKeysFile的参数接受令牌部分中描述的令牌。扩展后,AuthorizedKeysFile被视为绝对路径或相对于用户主目录的路径。可以列出多个文件,用空格分隔。或者,可以将此选项设置为none,以跳过检查文件中的用户键。缺省值为“..ssh/Authorizedkeys.ssh/Authorizedkeys2”。
如果做不到这一点,那么木偶脚本可以很容易地被修改以不覆盖我的添加内容,但仍然允许它们更新我的公钥,我可以向SA建议吗?
这也应该很容易。ssh_已授权_钥匙资源有一个purge_ssh_keys标志(默认情况下关闭),它控制是否从authorized_keys文件中清除非托管密钥。
https://unix.stackexchange.com/questions/557068
复制相似问题
腾讯云开发者
