使用证书增强的SSH安全解决方案:ssh-cert-authority

最新推荐文章于 2024-06-10 09:56:39 发布
最新推荐文章于 2024-06-10 09:56:39 发布
阅读量225 收藏 5
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00012/article/details/139192341
版权

使用证书增强的SSH安全解决方案:ssh-cert-authority

项目地址:https://gitcode.com/cloudtools/ssh-ca

项目简介

在IT环境中,对服务器的临时访问权限管理常常是一项挑战。ssh-cert-authority是一个创新的开源工具,它引入了基于证书的身份验证机制,让SSH访问更加灵活、安全。这个项目旨在解决传统SSH密钥一对一对用户和主机的管理问题,允许你对用户的访问权限进行精细控制,并且可以实现证书的自动过期。

项目技术分析

ssh-cert-authority使用了证书权威(CA)的概念,类似于HTTPS中的证书链。你可以通过一个中心化的CA创建并签署SSH证书,这些证书可以分配给用户,或者用于标记服务器的主机密钥。其工作流程包括:

  1. 创建CA私钥,将公钥添加到目标机器的authorized_keys
  2. 签署用户的公钥,生成一个有效期有限的证书。
  3. 用户下载并安装证书,即可无密码或无需确认主机指纹地进行SSH连接。
  4. 提供审计日志功能,记录谁何时获得了哪些服务器的访问权限。

该工具支持自动化脚本,如sign_keyget_cert,方便证书的管理和分发,同时也支持通过S3存储证书和审计日志,增加了可扩展性和安全性。

应用场景

  1. 紧急维护:当工程师需要临时访问生产环境以解决问题时,可以快速生成一个短效的SSH证书,过期后自动失效,避免长期开放访问权限。
  2. 云服务器的安全启动:新服务器启动时,可以预签主机证书,使得用户可以在不验证主机指纹的情况下安全连接。
  3. 多租户环境:在托管服务中,为每个客户生成特定的SSH证书,便于管理不同客户的访问权限。

项目特点

  1. 动态权限管理:只需设置证书的有效期,就能精确控制用户的访问时段。
  2. 自动化审计:通过S3记录详细的操作日志,便于追踪和审计用户行为。
  3. 增强的主机信任:通过签署主机密钥,用户可信任任何持有有效证书的服务器,减少手动确认的风险。
  4. 跨平台兼容性:支持各种操作系统,包括Linux、macOS等。
  5. 与现有系统集成:可以通过配置与现有的身份验证或基础设施管理系统无缝集成。

通过ssh-cert-authority,您可以构建一个更安全、更可控的SSH访问体系。现在就加入这个项目,提升您的服务器访问管理水平吧!

项目地址:https://gitcode.com/cloudtools/ssh-ca

平依佩Ula
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ssh签名证书生成脚本(双IP)
u013810373的专栏
12-26 1225
#!/bin/bash read -p "输入内网IP:" innerIP read -p "输入外网IP:" outterIP read -p "输入证书存放路径:" path if test -d $path then echo "目录存在" else echo "创建目录$path" mkdir -p $path fi #生成内网IP证书 echo "----生成内网IP证书--.
ssh-cert-authority:SSH证书颁发机构的实现
05-03
ssh-cert-authority的运营商希望使用SSH证书来提供对其所操作服务器的细粒度访问控制,强制执行2人规则,将其证书签名密钥保持秘密,并且不需要参与实际签名即可证书。 一个很高的要求。 这里的想法是希望访问...
ssh证书文件转.cer文件
༺墨༒眉༻
01-07 2016
阿里云下载的文件中.pem等同于.crt文件,里面都是私钥和公钥,直接修改后缀就可使用。 我们现有文件 1.pem转crt文件 cp 1692744_api.51duohua.cn.pem server.crt 2.生成cer文件 openssl x509 -in server.crt -out client.cer -outform der 结果 ...
【新】snapd申请Let‘s Encrypt免费SSL证书、自动化续签证书
赵昕彧
05-21 350
SSL证书申请,写得比较详细,但是最近发现使用snapd会更方便。使用机器:Ubuntu 20.04。
ssh 给被控端添加证书
zishan007的专栏
11-13 368
登陆主控端机器 ssh-keygen  cd .ssh #导出公钥文件 rz 命名为ip.usrname.pub 登陆被控端机器 cd .ssh #导入公钥文件 sz  选择主控端公钥 cat ip.username.pub >> authorized_keys 主控端测试 ssh username@ip
强化 SSH 让你更加安心
weixin_34174132的博客
07-24 55
2019独角兽企业重金招聘Python工程师标准>>> ...
推荐项目:Certbot —— 让互联网更加安全的自动化证书管理工具
最新发布
gitblog_00060的博客
06-10 338
推荐项目:Certbot —— 让互联网更加安全的自动化证书管理工具 项目地址:https://gitcode.com/norbusan/certbot-debian 项目介绍 在网络安全日益重要的今天,HTTPS成为了网站的标准配置,它依赖于数字证书来验证服务器的身份,确保数据传输的安全。然而,获取和维护这些证书常常让web管理员头痛不已。此时,由电子前沿基金会(EFF)发起的Certbot项目...
ssh-ca-ss:SSH-CA自助服务版
06-14
ssh-cas-ss 这次用Go写的SSH-CA自助版ssh-ca-ss 的运营商希望使用 SSH 证书为他们运营的服务器提供细粒度的访问控制,将他们的证书签名密钥保密,并且不需要参与实际签署证书。 一项艰巨的任务。 这里的想法是希望...
cert-manager-webhook-ovh:OVH Webhook证书管理器
05-09
OVH Webhook证书管理器这是的webhook解决器。先决条件版本0.11.0或更高版本(使用0.12.0进行测试):安装选择一个唯一的组名来标识您的公司或组织(例如acme.mycompany.example )。 helm install ./deploy/cert-...
Rancher-Cert-Manager:Rancher证书管理器的安装
04-08
使用“让我们加密”为Rancher安装Cert Mgr 让我们加密K8s集群发行人的JetStack kubectl适用-f kubectl获取容器--namespace cert-manager 集群发行人 kubectl create -f staging_issuer.yaml kubectl描述集群发行...
addon-lutron-cert:获取Lutron Cert-家庭助理社区附加组件
04-08
家庭助理社区附加组件:路创证书 一个简单的实用程序,用于生成签名证书文件,以允许对Lutron Caseta智能桥进行本地控制。 关于 该插件将指导您完成必要的步骤,以创建带签名证书文件,以使用Home Assistant...
Python_Certbot是eff的工具,可以从Lets Encrypt获取证书,并可选择在服务器上自动启用HTTP.zip
05-23
Python_Certbot是eff的工具,可以从Lets Encrypt获取证书,并可选择在服务器上自动启用HTTP
探秘自动获取Let's Encrypt SSL证书的神器——simplecert
gitblog_00083的博客
05-31 322
探秘自动获取Let's Encrypt SSL证书的神器——simplecert 项目地址:https://gitcode.com/foomo/simplecert 在数字安全的世界里,SSL/TLS证书是保障网站通信安全的关键。而由foomo开发的simplecert是一个以Golang编写的库,旨在简化自动获取和管理Let's Encrypt SSL证书的过程。本文将深入解析这个项目,引导你轻...
一分钟轻松搞定 SSL 证书自动续期,解决免费证书每 3 个月失效问题
民工哥的博客
06-05 621
httpsok 是一个专为 Nginx 和 OpenResty 服务器设计的 HTTPS 证书自动续签工具。稳定、安全、可靠。整个操作过程非常简单,方便,新手朋友也不用担心,都能轻松搞定。总结来说,httpsok 是一个功能强大且易于使用的 HTTPS 证书自动续签工具。通过简单的安装和配置,你可以轻松实现 Nginx 或 OpenResty 服务器上 SSL 证书的自动续签,确保网站的安全和稳定。公众号读者专属技术群构建高质量的技术交流社群,欢迎从事后端开发、运维技术进群(
公钥,私钥,签名以及SSH的简述
L X D的博客
10-18 1469
公钥与私钥 公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是独一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。比如用公钥加密数据就必...
Certbot对免费Let’s Encrypt证书的自动续期
qq_35774477的博客
04-22 2097
首先,检查你的 Let’s Encrypt 证书是否管理程序是 Certbot(你是否安装了 Certbot)。 执行命令: find / -name “certbot” 如果找到类似于 /bin/certbot 的结果,那么说明已安装了 Certbot(LNMP 1.4 的 SSL安装集成进去了,默认是装了的。LNMP1.3 则是以前是老的 lets encrpyt 程序); 如果没有找到,先...
SSH 证书登录教程
Dragon的博客
07-21 1047
目录 一、非证书登录的缺点 二、证书登录是什么? 三、证书登录的流程 四、生成 CA 的密钥 五、CA 签发服务器证书 六、CA 签发用户证书 七、服务器安装证书 八、服务器安装 CA 公钥 九、客户端安装证书 十、客户端安装 CA 公钥 十一、废除证书 十二、参考链接 SSH 是服务器登录工具,提供密码登录和密钥登录。 但是,SSH 还有第三种登录方法,那就是证书登录。很多情况下,它是更合理、更安全的登录方法,本文就介绍这种登录方法。 一、非证书登录的缺点 密码登录和密钥登
java解析cer证书
down177的专栏
01-20 3718
package cfca.svs.api.test; import java.io.*; import java.security.cert.*; import java.text.SimpleDateFormat; import java.util.*; public class CertManager {   public static void main(String[] arg
移植curl但是zlib无法使能,如何解决该问题 Host setup: arm-unknown-linux-gnueabihf Install prefix: /opt/rootfs/curl-7.79.0/curl-7.79.0/_install Compiler: arm-linux-gnueabihf-gcc CFLAGS: -Werror-implicit-function-declaration -O2 -Wno-system-headers -pthread CPPFLAGS: -isystem /opt/rootfs/openssl-1.1.1/openssl-1.1.1/_install/include LDFLAGS: -L/opt/rootfs/openssl-1.1.1/openssl-1.1.1/_install/lib LIBS: -lssl -lcrypto -ldl -lpthread curl version: 7.79.0 SSL: enabled (OpenSSL) SSH: no (--with-{libssh,libssh2}) zlib: no (--with-zlib) brotli: no (--with-brotli) zstd: no (--with-zstd) GSS-API: no (--with-gssapi) GSASL: no (libgsasl not found) TLS-SRP: enabled resolver: POSIX threaded IPv6: enabled Unix sockets: enabled IDN: no (--with-{libidn2,winidn}) Build libcurl: Shared=yes, Static=yes Built-in manual: enabled --libcurl option: enabled (--disable-libcurl-option) Verbose errors: enabled (--disable-verbose) Code coverage: disabled SSPI: no (--enable-sspi) ca cert bundle: no ca cert path: no ca fallback: no LDAP: no (--enable-ldap / --with-ldap-lib / --with-lber-lib) LDAPS: no (--enable-ldaps) RTSP: enabled RTMP: no (--with-librtmp) PSL: no (libpsl not found) Alt-svc: enabled (--disable-alt-svc) HSTS: enabled (--disable-hsts) HTTP1: enabled (internal) HTTP2: no (--with-nghttp2, --with-hyper) HTTP3: no (--with-ngtcp2, --with-quiche) ECH: no (--enable-ech) Protocols: DICT FILE FTP FTPS GOPHER GOPHERS HTTP HTTPS IMAP IMAPS MQTT POP3 POP3S RTSP SMB SMBS SMTP SMTPS TELNET TFTP Features: AsynchDNS HSTS HTTPS-proxy IPv6 Largefile NTLM NTLM_WB SSL TLS-SRP UnixSockets alt-svc
06-13
可以尝试用以下方式解决该问题: 1. 确认已经安装了zlib库和头文件。 2. 在编译curl时,添加 --with-zlib 选项启用zlib支持。如: ``` ./configure --with-zlib=/path/to/zlib ``` 其中 /path/to/zlib 是 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平依佩Ula

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值