Ключевое слово было инициализации, т.е. когда вы точно уверены, что MITM атаки нет, а если уверенности нет, то можно использовать отдельное хранилище или пример с https, что я приводил выше.
Технически не мешает и подобное я часто использую (делал внутренний доклад про сценарии использования, однако, на Хабре уже есть статьи на эту тему), но что, если надо зайти на сервер и выполнить
$ git pull
Или scp или rsync да и много чего ещё (на самом деле нет).
Можно использовать парольную аутентификацию или извращаться, а можно воспользоваться агентом.
Часто встречаю ситуацию когда на серверах разработки код стянут по https, ты вызываешь
git pull
А у тебя GIT спрашивает пароль какого-то разраба. Почему нельзя было склонить по SSH? Секурность? Нет — глу… незнание
асскажите, как вы будете управлять ключами десяти тысяч сотрудников на трёх сотнях тысяч серверов.
PAM?
На хабре была статья про использование промежуточных SSH серверов, через них уже ппоизводился выход на целевые сервера. Опять же, если рассматривать тысячи серверов, то это уже enterprise решения и выходит за рамки этой статьи
У меня опыт был использования PAM + ldap для управления пользователями
Мне кажется, что мы друг друга не поняли.
Локальный ssh-agent + ForwardAgent yes — я это и указывал
А цепочку можно построить так:
$ ssh-add
$ ssh -A server
connected
$ ssh-add # будет добавлен ключ из первого шага
$ ssh -A server2
connected
$ ssh-add # будет добавлен ключ из первого шага
$ ssh -A server3
По ARKit скоро выйдет отдельная статья, не переживайте. ARKit является более зрелой реализацией AR от Apple и поддерживается примерно 50% устройст, что значительно превышает охват ARCore.
Ключевое слово было инициализации, т.е. когда вы точно уверены, что MITM атаки нет, а если уверенности нет, то можно использовать отдельное хранилище или пример с https, что я приводил выше.
Технически не мешает и подобное я часто использую (делал внутренний доклад про сценарии использования, однако, на Хабре уже есть статьи на эту тему), но что, если надо зайти на сервер и выполнить
Или
scpилиrsyncда и много чего ещё (на самом деле нет).Можно использовать парольную аутентификацию или извращаться, а можно воспользоваться агентом.
Часто встречаю ситуацию когда на серверах разработки код стянут по https, ты вызываешь
А у тебя
GITспрашивает пароль какого-то разраба. Почему нельзя было склонить по SSH? Секурность? Нет — глу… незнаниеЯ могу предложить только временные ключи на время сессии
PAM?
На хабре была статья про использование промежуточных SSH серверов, через них уже ппоизводился выход на целевые сервера. Опять же, если рассматривать тысячи серверов, то это уже enterprise решения и выходит за рамки этой статьи
У меня опыт был использования PAM + ldap для управления пользователями
А в энтерпрайзе другие подходы
Дальше о безопасности говорить уже смысла нет
Локальный ssh-agent + ForwardAgent yes — я это и указывал
А цепочку можно построить так:
Спасибо за замечание, исправили.