এসএসএইচ কী পরিচালনার জন্য পরামর্শ

প্রচুর এসএসএইচ কী কী পরিচালনা করার জন্য আপনি সবচেয়ে ভাল অনুশীলনটি কী খুঁজে পেয়েছেন?

আমি বাড়িতে এবং কর্মক্ষেত্রে উভয়ই বেশ কয়েকটি সিস্টেমে সংযোগ করতে এসএসএইচ ব্যবহার করি। আমার কাছে বর্তমানে উভয় কাজের এবং হোম সিস্টেমের জন্য মোটামুটি ছোট, পরিচালনাযোগ্য সংরক্ষণাগার রয়েছে। আমার কাছে একটি স্ক্রিপ্ট রয়েছে যা একটি নামযুক্ত কীপেইর উত্পন্ন করে যাতে আমি বিভ্রান্তি এড়াতে পারি।

আমার হোম নেটওয়ার্কটিতে আমার ল্যাপটপ (উবুন্টু), দুটি ডেস্কটপ (উবুন্টু / ফেডোরা ডুয়াল বুট, ফেডোরা / উইন্ডোজ ডুয়াল বুট) এবং একটি মিডিয়া সিস্টেম (উবুন্টু) রয়েছে। কর্মক্ষেত্রে আমার কাছে আমার ব্যক্তিগত ল্যাপটপ (যা আমি বাড়ি থেকে কাজ করার জন্য ব্যবহার করি), আমার ডেস্কটপ (ফেডোরা), একটি প্রোডাকশন সিস্টেম (আরএইচইএল) এবং উইন্ডোজ (দীর্ঘশ্বাস) এবং একটি ভিএম (ফেডোরা) সহ একটি ল্যাপটপ রয়েছে। এখন পর্যন্ত সব ভাল।

(নয়তো আমার ওয়ার্ক সিস্টেমে আমার হোম কীপায়ার লাগাতে বা আমার হোম সিস্টেমে আমার কাজের কীপায়ার লাগাতে কোনও আগ্রহ নেই And এবং আমাদের অন্যান্য সিস্টেমের সাথে ফাইল স্থানান্তর যান্ত্রিকীকরণের জন্য ভার্চুয়াল ব্যবহারকারী অ্যাকাউন্ট রয়েছে, যেখানে ব্যক্তিগত কী অবশ্যই প্রযোজনা মেশিনে থাকতে হবে, অন্যান্য সিস্টেমের মধ্যে ফাইল স্থানান্তর করতে।)

তবে এখন হ্যাডোপ এসেছে, এটি 100+ সিস্টেমের একটি বৃহত ক্লাস্টার এবং আরও জটিলতা, আরও বেশি ব্যবহারকারী এবং আরও কীপাস সহ। এখন আমার চাবিগুলি পরিচালনা করতে হবে।

(আমাকে স্পষ্ট করে বলা দরকার I আমি একটি সফ্টওয়্যার বিকাশকারী একজন ক্লায়েন্টের সাথে পরামর্শ করছি যারা হ্যাডোপ ক্লাস্টার নিযুক্ত করছে They তাদের কীগুলি পরিচালনা করা দরকার There বহু লোককে ক্লাস্টারে অ্যাক্সেস করতে হবে, তাদের পাবলিক কীগুলি সিস্টেমে স্থাপন করা দরকার the বাসিন্দা হিসাবে লিনাক্স সাওয়ান্ত, তারা আমাকে সাহায্য চেয়েছিল I আমি একটি সিস্টেম অ্যাডমিন নিয়োগের পরামর্শ দিয়েছিলাম, তবে তারা না করা পর্যন্ত আমি সহায়তা করছি)

যখন আমাকে একটি দূরবর্তী সিস্টেমে সর্বজনীন কীটি প্রকাশ করতে হবে, তখন 'কীভাবে' ওয়েব পৃষ্ঠাগুলির সমস্তই ওভাররাইট (>) (বিদ্যমান কীগুলি ধ্বংস করে), বা সংযোজন (>>) (যা ভাল, বিদ্যমান কী সংরক্ষণ করে) প্রস্তাব দেয় । তবে আমি মনে করব গন্তব্য মেশিনে প্রতিটি পাবলিক কী আলাদাভাবে সংরক্ষণ করা এবং সেগুলির সংমিশ্রণটি আরও ভাল। আমি পরামর্শ খুঁজছি।

প্রচুর কী পরিচালনা করার জন্য আপনি যে সেরা অনুশীলনটি খুঁজে পেয়েছেন তা কী?

ধন্যবাদ!

সম্পাদনা করুন: একটি দিকের প্রয়োজন প্রচুর সিস্টেমে কীগুলি স্থাপন করা এবং নির্দিষ্ট ব্যবহারকারীদের জন্য যুগ্ম CRUD (তৈরি, পড়া, আপডেট, মোছা / অক্ষম করা) দরকার যার অর্থ কোন ব্যবহারকারীর কী সম্পর্কিত তা চিহ্নিত করতে সক্ষম হওয়া প্রয়োজন।

সাধারণত আপনার প্রতি ক্লায়েন্ট মেশিনে 1 টির বেশি কী থাকা উচিত নয় ("সাধারণভাবে" জোর দেওয়া)। আমি আপনার প্রশ্নটি সঠিকভাবে বুঝতে পারছি কিনা তা নিশ্চিত নই তবে আপনি যদি বলছেন যে প্রতিটি প্রত্যন্ত সিস্টেমের জন্য আপনার কাছে আলাদা কী আছে তবে আপনি অবশ্যই এটিকে ভুল করছেন।

Ssh সর্বজনীন কী ক্রিপ্টোগ্রাফি ব্যবহার করে। দূরবর্তী সিস্টেমে আপনি যে কীটি ইনস্টল করেছেন সেটি হ'ল সর্বজনীন কী, অন্য কোনও জায়গায় এই কীটি পুনরায় ব্যবহার করার ক্ষেত্রে কোনও ক্ষতি নেই। এটি একটি ব্যক্তিগত কী যা অবশ্যই সুরক্ষিত রাখতে হবে এবং আপনার ব্যক্তিগত সিস্টেমে থাকবে।

ব্যক্তিগত চাবিটি শুধুমাত্র একটি ক্লায়েন্টের কাছে থাকা, না ভাগ করা নয় a এটি একটি ভাল ধারণা। এটি এমন যে কোনও ক্লায়েন্টের সাথে আপোস করা থাকলে আপনি কেবল একটি চাবিটি প্রত্যাহার করতে পারেন।

এখন, আপনি যদি জিজ্ঞাসা করছেন যে কীভাবে আপনি আপনার সর্বজনীন কীটিকে শত শত সিস্টেমে সন্ধান করতে পারেন তবে এটি করার কয়েকটি উপায় রয়েছে।

সর্বাধিক সাধারণ উপায় হল ভাগ করা হোম ডিরেক্টরি ব্যবহার করে using সমস্ত সিস্টেমে একটি এনএফএস (বা অন্যান্য নেটওয়ার্ক ফাইল সিস্টেম) মাউন্ট করা (বা স্বয়ংক্রিয়ভাবে) রয়েছে Have

অন্য উপায়টি হ'ল ssh এ একটি নতুন বৈশিষ্ট্যটি গ্রহণ করা। এটি একটি কনফিগারেশন নির্দেশ বলা হয় AuthorizedKeysCommand। মূলত এটি একটি কমান্ড যা sshd সর্বদা চালানো হবে যখন এটি একটি পাবলিক কী সন্ধান করা প্রয়োজন। কমান্ডটি সহজেই এটির STDOUT- এ জিজ্ঞাসা করা ব্যবহারকারীর সার্বজনীন কী লিখেছে। এটি প্রাথমিকভাবে ব্যবহৃত হয় যখন আপনি হোম ডিরেক্টরিগুলি মাউন্ট করেন না, তবে এখনও একটি কেন্দ্রীয় প্রমাণীকরণ সার্ভার থাকে ( ফ্রিআইপিএ এর সুবিধা নেয়)।

অবশ্যই আপনি /homeকেন্দ্রীয় সার্ভার থেকে ক্রোন জব আরএসএনসি-র মতো অন্যান্য কাজ করতে পারেন । তবে এটি কোনও সাধারণ অনুশীলন নয়।

যখন আমাকে একটি দূরবর্তী সিস্টেমে সর্বজনীন কীটি প্রকাশ করতে হবে, তখন 'কীভাবে' ওয়েব পৃষ্ঠাগুলির সমস্তই ওভাররাইট (>) (বিদ্যমান কীগুলি ধ্বংস করে), বা সংযোজন (>>) (যা ভাল, বিদ্যমান কী সংরক্ষণ করে) প্রস্তাব দেয় । তবে আমি মনে করব গন্তব্য মেশিনে প্রতিটি পাবলিক কী আলাদাভাবে সংরক্ষণ করা এবং সেগুলির সংমিশ্রণটি আরও ভাল। আমি পরামর্শ খুঁজছি .এ

আমি সার্বজনিক কী সংরক্ষণকারী যে কোন সুবিধা দেখছি না উভয় মধ্যে .ssh/authorized_keysএবং একটি পৃথক ফাইলে।

আপনার যদি * অনুমোদিত_কিজি * ফাইলে সঞ্চিত প্রকৃত কীগুলি একবার দেখে থাকেন তবে দেখতে পাবেন যে এগুলিতে কীটির উত্স সম্পর্কে ইতিমধ্যে মানব-পঠনযোগ্য মেটা-তথ্য রয়েছে। উদাহরণস্বরূপ পাবলিক কীতে user@fooসাধারণত এন্ট্রি থাকে:

ssh-rsa AAAAB3Nza...LiPk== user@example.net

এইভাবে * অনুমোদিত_কিগুলি * ফাইল থেকে নির্দিষ্ট কীগুলি (নির্দিষ্ট ব্যবহারকারীদের সাথে সংযুক্ত) মুছে ফেলা / এক্সট্রাক্ট / মুছে ফেলা খুব সহজ করে তোলে।

ব্যবহারকারী আইডি হ'ল একটি ফর্ম-ফর্ম "মন্তব্য" ক্ষেত্র, যাতে আপনি যে কোনও তথ্য সেখানে রাখতে পারেন, যাতে আপনি প্রদত্ত কীটি সনাক্ত করতে প্রয়োজনীয় মনে করেন।

যাই হোক না কেন, আপনার কেবল "ব্যবহারকারীদের" জন্য কী-জোড়া তৈরি করা উচিত যা দূরবর্তী রিসোর্সগুলি অ্যাক্সেস করতে হবে। সম্ভাবনাগুলি হ'ল, আপনাকে প্রতিটি হ্যাডুপ হোস্ট থেকে একে অপরের হ্যাডোপ হোস্টে লগইন করতে হবে না। বরং আপনার কাছে কয়েকটি পরিচালনা মেশিন থাকবে, এর জন্য সমস্ত হ্যাডুপ হোস্ট অ্যাক্সেস করা দরকার। আপনার কেবলমাত্র ম্যানেজমেন্ট মেশিনে একটি একক কী-জুড়ি প্রয়োজন এবং সমস্ত হ্যাডুপ হোস্টে প্রতিটি পাবলিক-কি ইনস্টল করুন।

সাম্প্রতিক ওপেনএসএসএইচটি এলডিএপি থেকে এসএসএস কীগুলি পাওয়ার অনুমতি দেয়, sshd_config ম্যান পৃষ্ঠাতে ' অথরাইজডকিজকম্যান্ড ' দেখুন । ব্যক্তিগতভাবে আমি কীগুলি নয়, ওপেনএসএইচ শংসাপত্রগুলি পছন্দ করব, দেখুন http://blog.habets.pp.se/2011/07/OpenSSH-cerificationsates । আপনি যেকোন কনফিগারেশন ম্যানেজারের মতো সিফেনিজিন, পুতুল, শেফ, লবণের সাথে কীগুলি পরিচালনা করতে পারেন ...

একটি অন্য উপায় যা কার্যকর করা অত্যন্ত সহজ এবং একাধিক ব্যবহারকারীকে যুক্ত করার ক্ষেত্রে কিছুটা নমনীয়তা ব্যবহার করে। https://userify.com/

এটি আপনাকে সার্ভারের বিভিন্ন গোষ্ঠী সংজ্ঞায়িত করতে এবং সেই সমস্ত সার্ভারগুলির জন্য বিভিন্ন ব্যবহারকারীকে সক্ষম বা অক্ষম করার জন্য কীগুলি রাখতে সহায়তা করে।

সুপার সহজ ইনস্টলেশন ও পরিচালনা।