管理 SSH 密钥和密钥组

PAM360 允许您管理 SSH 密钥的整个生命周期,这个过程是从网络中SSH资源的发现开始的,流程如下:

上面的步骤描述了 PAM360 中的密钥相关操作,可以根据实际需要查看相应步骤。

步骤 1:将发现的密钥导入 PAM360

PAM360 需要SSH用户凭据才能进行SSH密钥管理。如果凭据正确无误,您可以导入发现的 SSH 密钥。要从发现的 SSH 资源导入密钥文件,步骤如下:

  1. 导航到PAM360主页 >> SSH 密钥
  2. 点击"发现的密钥"选择密钥进行导入。
  3. 单击"导入"按钮。

注意:如果密钥使用密码保护,即使导入操作是成功的,但在与用户帐户关联时您需要输入密钥的密码后才能使用。


从系统导入密钥

除了从 SSH 服务器自动发现密钥文件外,您还可以导入本地密钥文件到系统中。步骤如下:

  1. 导航到PAM360主页 >> SSH 密钥
  2. 单击窗口右上角"更多"的"导入密钥"按钮。
  3. 单击"浏览"按钮并选择系统中的密钥文件。
  4. 输入密钥的名称和密码。
  5. 单击"添加"按钮将密钥添加至系统。

注意:如果密钥使用密码保护,则必须输入相同的密钥才能成功导入密钥。


步骤 2:创建新密钥并部署

PAM360 支持您创建新的密钥对,并将其部署到目标系统上,PAM 360的创建和部署功能,可以用于密钥的一键生成和部署,该功能将支持为每个用户创建唯一的密钥对,相应的密钥对可以自动的部署到目的系统的用户账户上。

SSH 密钥对可以使用 RSA /DSA 算法生成,具体如下:

RSA :1024 , 2048 ,或 4096 位

DSA :1024 位 。

创建密钥操作如下:

  1. 导航到PAM360主页 >> SSH 密钥
  2. 单击"创建"选项。
  3. 在"创建 SSH 密钥"窗口中,输入密钥的详细信息,然后选择密钥类型和长度。
  4. 单击"创建密钥"按钮生成密钥。

查看密钥:

管理员可以点击密钥右侧的显示密码图标 来查看密钥的内容详情。

要创建和关联资源中的所用户帐户的密钥,操作如下:

  1. 导航到资源 >> 密码 >> 密钥操作 >> 创建和部署,以在其所有枚举的用户帐户中部署密钥。
  2. 选择密钥注释、类型和长度,然后单击"创建和部署"按钮以创建密钥对,并同时将其部署在资源上,凭证可用的用户账户上。

步骤 3:将创建的或现有密钥与用户关联

导入/创建密钥后,您可以将密钥与 SSH 用户关联。

注意:如果为资源提供root用户或管理员凭据,则密钥可以与资源的所有枚举用户帐户关联。如果 PAM360 数据库中没有可用的密钥,则系统将提示您创建密钥来做关联。

要将创建的或导入的密钥与资源的帐户关联,操作如下:

  1. 导航到资源 >> 密码 标签页下
  2. 选择关联用户帐户
  3. 单击"密钥操作"下的"关联"按钮
  4. 选择一个密钥,然后再次点击"关联"按钮。

将 SSH 密钥与资源的用户账户关联,操作如下:

  1. 导航到PAM360主页 >> SSH 密钥
  2. 从显示的列表中选择一个密钥。
  3. 单击"关联"按钮。
  4. 在"公钥关联"窗口中,选择用户帐户并单击"关联"按钮。

您还可以查看密钥关联的资源账户

  1. 导航到PAM360主页 >> SSH 密钥
  2. 单击所需的密钥名称。
  3. 单击窗口右上角的"关联"图形图标进行查看。

第4步:执行密钥管理操作(编辑、轮换、取消关联、删除)及使用密钥远程连接终端设备

轮换 SSH 密钥

您可以配置定期自动轮换 SSH 密钥,根据计划定期更换所有已部署的密钥,也可以根据您的需要随时主动进行密钥轮换。

密钥手动轮换

  1. 导航到SSH 密钥 >> SSH 密钥
  2. 选择要轮换的密钥。
  3. 单击"轮换"选项。

您可以重定向到"密钥轮换审核"页面,查看密钥更新轮换状态。

注意:只有已经与资源帐户关联的密钥才能轮换。


密钥计划轮换

  1. 导航到管理 >> SSH/SSL >>计划
  2. 单击"添加计划"按钮。
  3. 在"添加计划"窗口中,输入计划的名称,然后从下拉列表中选择"密钥轮换"计划。
  4. 选择要轮换的密钥。
  5. 选择轮换的时间和日期,同时输入要通知的用户的电子邮件地址。
  6. 单击"保存"。

计划执行的结果将在计划审核中更新,密钥轮换的结果将在密钥轮换审核中更新。

取消SSH资源账户与密钥的关联

当想要取消用户SSH资源密钥的使用时,可以将用户关联的密钥分离,切断其远程访问。同时,对资源管理员来说,在取消所有SSH 密钥关联之前,将不能删除资源及账户。

要选择密钥与用户帐户取消关联,操作如下:

  1. 导航到PAM360主页 >> SSH 密钥
  2. 选中想要取消关联的密钥。
  3. 单击"更多"下拉列表中的"取消关联"按钮。
  4. 可以选择单个资源账户或者多个进行取消关联。

如想要在资源账户上直接取消密钥关联,操作如下:

  1. 导航到资源 >> 密码 标签页下
  2. 选择要取消关联密钥的用户帐户,然后单击"取消关联密钥"选项。
  3. 选择取消一个或多个密钥关联关系,选中密钥后点击"取消关联"按钮。

将密钥推送到远程用户帐户:

除了部署之外,PAM360 还允许您将私钥或公钥及两者同时推送给关联的用户。

要将密钥文件推送到远程用户帐户,操作如下:

  1. 单击所选密钥右侧的"向用户推送密钥"
  2. 选择需要推送的密钥(私钥或者公钥或二者),选择关联的用户,然后单击"推送"。
  3. 密钥文件将被推送到选定的用户。

此功能同样也可以用在定期密钥轮换上。

添加命令以限定密钥的主机

您可以在特定的用户账户上添加命令,从而添加一层额外的限制,以限制它们仅在相应的主机上执行命令。此外,您还可以预定义适当的密钥格式,如下所示:

  1. 导航到资源 >> 密码 标签下
  2. 选择要添加命令的用户帐户,然后单击其对应的"密钥操作"选项中的"添加命令"。
  3. 将打开"添加命令"对话框,可以在其中添加以下格式的命令:command="usr/local/bin/script.sh"

要限制密钥的主机,请单击"添加命令",并提供以下格式的主机的名称或 IP 地址:from="host1/ip1,host2/ip2"

编辑 authorized_keys 文件

您可以从 authorized_keys 获取文件,编辑密钥内容,然后从 PAM360 将它们推送到相应的用户帐户上,操作如下:

  1. 导航到资源 >> 密码
  2. 选择所需的用户帐户,然后单击"密钥操作"选项中的"编辑授权密钥"。
  3. 将打开一个窗口,显示相应 authorized_keys 的公钥列表。
  4. 现在,您可以编辑显示的密钥的内容,然后通过单击"推送"按钮将它们部署到相应的用户帐户上。

删除密钥

当您尝试从 PAM360 中删除 SSH 密钥时,首先这些密钥会自动与关联的资源帐户分离,如分离失败,密钥删除将失败,可以在密钥审计中查看详情,操作如下:

  1. 导航到PAM360主页 >> SSH 密钥
  2. 选择要删除的密钥。
  3. 单击"更多"下拉列表中的"删除"按钮。
  4. 点击"确定"。

步骤 5:SSH 密钥组进行批量管理

PAM360可以创建SSH密钥组,来方便组织并批量执行操作,可以基于组来进行分配、修改、删除等动作。您可以添加静态或是基于条件的动态组。点击密钥组名称将枚举所有SSH密钥项。

SSH密钥组管理

创建密钥组

请按照以下步骤创建SSH密钥组:

  1. 导航到SSH 密钥 >> 密钥组
  2. 单击"添加组"按钮。您将被重定向到"添加密钥组"窗口。
  3. 输入组的名称。请注意一旦创建完成后将无法再修改组名称。
  4. 您可以选择两种方式添加密钥资源:
    • 选择特定的密钥。即:单独选择要添加到组的密钥。
    • 按条件动态密钥分组。即:密钥在匹配了组条件后,将会被自动添加到该组下。可选列包括密钥名称、类型、长度或创建者等信息,以及"包含"、"不包含"、"等于"、"不等于"、"以"XXX结尾"等条件。单击窗口右下角的"匹配密钥"按钮可以展示匹配到的密钥。
    • 提示:对于动态组,若新添加的密钥匹配了条件,将自动进入该组下。

编辑密钥组

要对现有密钥组进行更改,操作如下:

  1. 导航到SSH 密钥 >> 密钥组
  2. 单击组名称右侧的编辑图标。
  3. 您可以更改类型、修改可用的密钥,即添加、删除静态密钥资源或修改动态组的过滤器。

注意:组的名称一旦确认后无法进行修改。


轮换密钥组的密钥

要轮换密钥组的所有密钥,操作如下:

  1. 导航到SSH 密钥 >> 密钥组
  2. 选择密钥组,然后单击"轮换"按钮。

您将会重定向到密钥轮换窗口,查看密钥轮换的更新状态。

删除密钥组

要删除密钥组:

  1. 导航到SSH 密钥 >> 密钥组
  2. 选择密钥组。
  3. 单击"删除"按钮。

弹出再次确认框,单击"确定"后删除。

其它内容

调整密钥存储路径

您可以自定义要部署公钥的位置。操作如下:

导航到资源 >> 密码

  1. 单击"密钥操作"下拉"编辑用户路径"。
  2. 输入修改后的路径,然后单击"保存"。

导出 SSH 密钥

导出SSH资源对应的密钥文件,操作如下:

  1. 导航到PAM360主页 >> 资源>>密码
  2. 选择部署密钥的资源,点击密钥操作,然后单击"导出SSH密钥"按钮。

注意:即使密钥导出,用于保护密钥的密码仍然有效。也就是要在外部使用密钥时,必须提供密码。


SSH 密钥审核

SSH密钥关联或轮换都会被审计记录。同样,在报表中,也可以查看到 SSH 密钥。

  1. 密钥关联审核:查看使用 PAM360 执行的主动和计划的密钥关联操作。
  2. 密钥轮换审核:查看使用 PAM360 执行的主动和计划的密钥轮换操作。

查看 SSH 密钥历史记录

使用 PAM360 ,您可以查看每个SSH密钥创建、导入、轮换等内容的历史记录及时间戳。

要查看任何密钥的历史记录,操作如下:

  1. 导航到PAM360主页 >> SSH 密钥
  2. 选择一个密钥。
  3. 单击"密钥历史"按钮。

导出发现的密钥报表

发现密钥的报表可以导出为 PDF ,也可以导出到电子邮件上。要导出报表,操作如下:

  1. 导航到PAM360主页 >> SSH 密钥 >> 发现的密钥
  2. 选择一个密钥资源。
  3. 单击"导出"按钮。 您可以将报表文件导出或通过电子邮件发送。
    • PDF:在系统中导出“发现的密钥”的报表文件 。
    • 电子邮件:将“发现的密钥”报表发送到指定的电子邮件地址上。

© 2021, ZOHO 公司,保留所有权利。

页首