172 похожих чатов

Приветсвую. Тут задался таким вопросом, как можно организовать доступ программистам

к серверам через ссш, не выдавая пароль, при условии что нет возможности использовать ссш ключ?

13 ответов

18 просмотров

Используйте сертификаты :)

Накрутить ssh bastion?

im_lenin- Автор вопроса
Roman Nebelyuk
Накрутить ssh bastion?

Вот пока что одно из решений, только как потом иде цеплять, непонятно по sftp

im_lenin
Вот пока что одно из решений, только как потом иде...

А в чем проблема использования пароля?

im_lenin- Автор вопроса
Greezz Lee
А в чем проблема использования пароля?

Программист может уйти и наделать делов на сервере

im_lenin
Программист может уйти и наделать делов на сервере

Ограничить доступ по ссш на пачку апйпишников офиса

im_lenin
Программист может уйти и наделать делов на сервере

То есть все программисты будут сидеть из под одной учетки? Я, конечно, понимаю, что девопсы ленивы, но не настолько же :D

Greezz Lee
То есть все программисты будут сидеть из под одной...

А вы пароль для каждого разный будете придумывать и менять сразу на всех серверах?

im_lenin- Автор вопроса
Ivan Karpenko
А вы пароль для каждого разный будете придумывать ...

Если серверов много, я прикручиваю LDAP-аутентификацию. Тогда можно из одного места управлять сразу всеми учетками и паролями

im_lenin
Программист может уйти и наделать делов на сервере

Надеюсь, у вас программисты не под одним аккаунтом ходят на серверы. Отключайте аккаунт программиста на сервере при увольнении (шелл ему /bin/false поставьте). Хоть руками, хоть через LDAP. Пользуйтесь ssh сертификатами. Программист ушёл – его серт добавили в certificate revocation list на серверах, проблема решена.

im_lenin- Автор вопроса
MARAT 👓
Через proxy command в ssh

А вот это возможно подходит) спасибо

Похожие вопросы

Обсуждают сегодня

Какой-то там пердун в 90-х решил, что есть какая-то разная типизация. Кого вообще это волнует?
КТ315
49
void terminal_scroll() { memmove(terminal_buffer, terminal_buffer + VGA_WIDTH, buffer_size - VGA_WIDTH); memset(terminal_buffer + buffer_size - VGA_WIDTH, 0, VGA_WIDTH); ...
Егор
47
Всем привет! Подскажите, пожалуйста, в чем ошибка? Настраиваю подключение к MySQL. Либы лежат рядом с exe. Все как по "учебнику"
Евгений
16
А можете как-то проверить меня по знаниям по ассемблеру?
A A
132
Здравствуйте! У меня появилась возможность купить книгу "Изучай Haskell во имя добра!". Но я где-то слышал, что эта книга устарела. Насколько это правда??
E
22
Здравствуйте! Я вот на stepic решаю задачи на хаскеле https://stepik.org/lesson/8443/step/8?unit=1578 мой код import Data.List (isInfixOf) removing :: String -> [String] ->...
E
10
Камрады, кто тесно работал с vtv, хотел уточнить. Ширина column задаётся жёстко на этапе создания дерева или можно в рантайме ее менять программно (не мышкой)?
Ed Doc
10
да ладно ... что там неочевидного ? глянуть в исх-ки датасета и/или кверика чтобы понять в каком месте и как выполняется обращения к св-вам blablaSQL - минутное дело, даже е...
Сергей
7
Здесь для arm кто-нибудь кодит ?
Nothing
52
Всем привет, у меня есть сервер принимающий входящие HTTP подключения, как проверить, что подключение было через прокси или нет, есть какие то поля в заголовках по которым мо...
DS
8
Карта сайта