Ssh

使用指紋和其他東西自動驗證虛擬機主機

  • April 5, 2019

使用指紋和其他東西自動驗證虛擬機主機

我一直在研究各種自動遠端驗證遠端 ssh 伺服器(虛擬機)的方法。他們似乎都有相同的結論……即主機密鑰需要通過某種安全通道(離線,通過 TLS 上的控制面板或其他方式)進行驗證。

由於大多數雲供應商似乎提供了一種 API 機制來在 VM 設置期間執行程式碼(例如通過 TLS 傳輸),讓雲供應商將 UUID 或其他一些長的隨機密鑰或字元串寫入使用密鑰對進行身份驗證後可以檢查的文件系統?

這會增加任何價值,還是只是混淆?如果我根本不使用 DNS 主機名,會有什麼變化嗎?

我的主要目標是避免維護基礎設施……那麼這種事情可能嗎?

我認為您正在尋找解決方案的錯誤方向。

為了在您經常推出 VM 並希望防止在首次連接到新 VM 時需要手動檢查新伺服器的密鑰指紋的有效性時提供“簡單”的解決方案,我認為您有兩種不同的潛在解決方案。兩者都在擴展您使用“使用者數據”在推出時自定義 VM 的想法:

  1. 您可以預先創建一個密鑰對,使用您自己的 CA 簽署公鑰,然後將該伺服器密鑰對部署到新的 VM,而不是讓每台伺服器在第一次啟動時生成它自己的隨機伺服器密鑰對。

請參閱https://serverfault.com/a/954138/37681 2. 或者,您可以插入一個腳本,在部署後,一旦新伺服器完成生成它的新密鑰對,就會將密鑰指紋上傳到 DNS。然後,您可以使用該VerifyHostKeyDNS指令自動驗證指紋。參見RFC 4255

引用自:https://serverfault.com/questions/961672