Preporuka za credential manager na Linuxu

[ ..Spaceman @ 25.09.2016. 21:31 ] @

Pozdrav svim Linuxašima i ljudima dobre volje.
Dali neko moze da mi preporuci neki kvalitetan credential password manager koji radi pouzdano na Linuxu.
Imam 10+ servera na Linuxu i hteo bi da ljudi nekako mogu da se loguju preko konzole ali da zapravo nemaju uvid u to o kom passwordu se zapravo radi.
Za Win postoji remote desktop manager koji radi stvar odlicno, licno sam video skoro 6000 servera (mesano Linux/Win) kojima moze da se pristupi tako da admin zapravo nezna koji je root password ali se loguje automatski kao root i radi u konzoli kao root ili admin user.

Dali postoji nesto slicno za linux? trazio sam na google i nisam naisao na nesto sto radi posao kao remote desktop manager. Ako je neko radio sa slicnim alatima ili ima nesto da preporuci, to bi bilo super!

[ nkrgovic @ 26.09.2016. 08:00 ] @

Nije alat koji trazis, ali mozda jeste resenje problema koji ti treba:

Napravi im ssh kljuceve? Jedan fizicki nalog moze da ima n ssh kljuceva, svaki korisnik ima svoj, loguju se bez password-a i konekcija je bezbedna. Sto je jos lepse (i neki best practice), kljuc moze da ima svoju sifru (passphrase) koja je veana za kljuc lokalno ne za remote nalog, tako da imas zastitu da korisnik mora da unese sifru za svoj ssh kluc, ali ta sifra nema nikakve veze sa serverom. Kad hoces da ubijes tog jednog korisnika revoke-ujes njegov kljuc, shell nalog i dalje radi normalno (samo obrises jedan red iz fajla). Mozes da podesis ssh server da i ne prima password-e, samo kljuceve (ja to radim iz bezbednosnih razloga), tako da si i tu pokriven.

Ne znam da li ti je ovo resenje koje ti vrsi posao.

[ ..Spaceman @ 27.09.2016. 19:01 ] @

Hvala na odgovoru.
U tom slucaju moram da prebacujem kljuceve za svakog korisnika posebno? znaci x korisnika puta x servera?

[ nkrgovic @ 27.09.2016. 19:46 ] @

Svi kljucevi za jedan nalog stoje u ~/.ssh/authorized_keys. Ako svi idu na isti nalog, to je jedan fajl. Ako imas n korisnima na m servera, i svako ima svoj nalog, da treba ti nxm prebacivanja kljuceva, ali ti treba i nxm create user komandi. :)

Mozes to, u svakom slucaju, da skriptujes, tako da, ako imas root nalog na svim masinama, samo ti pokrenes skriptu i cekas da zavrsi.... :) Tj. ja bi pisao ugnjezdjenu petlju u bash-u, ti mozda mozes da iskoristis priliku na naucis puppet ili chef, ili jednostavno odvojis sat-dva i sve odradis na ruke, uz neki copy/paste u terminal..... Sve vec prema ukusu.

[ ..Spaceman @ 29.09.2016. 18:52 ] @

Ma evo ucim puppet, 3 dana citanja samo za to da puppet server instalira LAMP na clientu i da prebaci jedan fajl... Na kraju je uspelo. Doguracu i do ssh kljuceva.

Neki zaseban program za Linux koji se brine da "obicni korisnici" imaju root pristup a da u isto vreme neznaju o kom passwordu se radi, znaci ne postoji?

[ nkrgovic @ 03.10.2016. 15:09 ] @

Da obicni korisnici imaju root pristup sluzi sudo. Man sudo, pa ces videti da mozes to fine grained.... Opet, ti si trazio da ima pristup, nisi spominjao root - mozes ti svima da spustis kljuc u root da svako ide direkt kao root, ali po meni je to glupo, mnogo je bolje da svako ima svoj nalog, pa da koristi sudo samo kad/za sta mu treba.

[ djoka_l @ 03.10.2016. 15:25 ] @

Uzgred, ja samo poslednjih nedelja radio sa Ansible. I oduševio se... Za razliku od Chef/Puppet ne zahteva da se na Linuxima koje konfiguriše instalira bilo kakav agent. Ansible stoji na jednom računaru i odatle se pokreće playbook koji konfiguriše grupu servera. Konfigurisanje još jednog servera se sastoji u tome da se doda njegova IP adresa u /etc/ansible/hosts i da se između servera na kojem je Ansible instaliran i onog drugog razmene ssh ključevi i da se ponovo pusti playbook.

Recimo, trebalo je da na N servera dodam Windows shared folder i da ga mauntujem. Napravio sam playbook koji instalira smb klijent softver, kopira credential file i mauntuje folder.

Evo ga playbook file:

Code:

---
- hosts: ovde_stavis_naziv_grupe

  tasks:
    - name: install samba client
      yum: name={{ item }} state=latest
      with_items:
        - samba-client
        - cifs-utils

    - name: create folders
      file: path={{ item }} state=directory
      with_items:
        - /root/conf
        - /my-share

    - name: copy credentials
      copy: src=samba-user.cred dest=/root/conf/samba-user.cred

    - name: mount shared folders
      mount: state=present
             fstype=cifs
             src={{ item.src }}
             name={{ item.name }}
             opts="credentilas=/root/conf/samba-user.cred"
      with_items:
        - { name: "/my-share", src: "//win-share-host/share-name" }