Názor k článku Používání klíčů v OpenSSH od pepazdepa - klice jsou dobre, ale bez spravne politiky mohou...

klice jsou dobre, ale bez spravne politiky mohou prinaset spise problemy - "stare" klice na serverech, kde uz urcity uzivatel nema mit pristup napriklad. pouzivani klicu je tedy nutne napojit na celkovou strategii definovani roli a privilegii, napr. klice tahat od nekud z ldapu a refreshovat na serverch pomoci cfengine, puppet atp.

u nas si znudeni psychopaticti inzenyri vymysleli uplne kretensky tool, ktery pry je nejak napojeny na ticketovaci system a v situaci, ze urcity admin resi na urcitem serveru nejaky problem, tak mu tento tool vygeneruje docasnou roli a jednorazove heslo (ktere stejne nevidi) a otevre mu puffy (nebo rdp, citrix, atp...) a prihlasi ho na tento server :) jako bonus to ma pry skenovat vystup tohoto "uneseneho" programu (nevim presne jak, jestli to loguje na pozadi nebo na principu ocr napr. pri rdp), a pri "nebezpecnych prikazech" to ma delat nejaky alertovani :)

urcite by me zajimal nejaky clanek o two-factor authentikaci obecne (pac nejsem uzivatel PAM-based OSs), nebo o pouzivani ruznych tokenu atp... rozvnez openssh umi par poslednich verzi pouzivat certifikaty pro uzivatele...