authorized_keysの中心的な場所は良い考えですか？

次のスタックを実行するようにクラウドサーバーを構成中です。Ruby、Passenger、Apache。Ubuntu 10.04（Lucid Lynx）の下で。

サーバーを管理しやすくするためにroot、RSAキーをに設定し、サーバーに接続www-dataできるようsshにします。私は好きではなかった事はそれだったwww-dataの.sshディレクトリがに座って/var/wwwいるApacheのデフォルトディレクトリの設定です。私の心配は、Apacheが適切に構成されていない場合、.sshディレクトリが公開される可能性があることです。

を~/.ssh/authorized_keys変更AuthorizedKeysFileして、ファイルを中央の場所に移動するソリューションに出会いました/etc/ssh/sshd_config。これには2つの長所があります。キーの単一の場所であり、Apacheの不適切な構成を心配する必要はありません。考えられる唯一の欠点は、すべてのユーザーがサーバーにログインできるようになったことです（明らかに、中央キーファイルの両刃の剣）。

この構成で見逃したことはありますか？私は自分自身を過度に公開しましたか、これは個々のauthorized_keysファイルよりも優れたソリューションですか？

サーバー管理に関しては私は環境に優しいですが、悪いことをするために悪名と呼ばれる準備は完全に整っています。：D

すべてのキーファイルを同じディレクトリに集中させ、同じファイルに混在させることはできません。

sshd_configこのようにファイルを設定するだけです：

AuthorizedKeysFile  /etc/ssh/authorized_keys/%u

サーバー上：

• www-dataキーは /etc/ssh/authorized_keys/www-data
• ルートキーは /etc/ssh/authorized_keys/root

アクセス権に関して、これらの設定はsshdによって受け入れられます。

/etc/ssh/authorized_keysが所有しroot:root、モード755を持っています。キーファイルはroot:root、モード644を所有し、持っています。

他のモードでも動作する可能性がありますが、私はそれらをテストしていません。

一般的に言って、私はあなたが提案していることをしません。一般的な前提を破り~/.ssh/authorized_keysます（ユーザーのために働くなど）、質問ですでに言及した問題を導入します。実装前に目立った問題が見られる場合、ソリューションは理想的ではありません。

セキュリティの面でも、すべての人にサービスアカウントを共有させるのはひどい考えだと思います。今はあなただけで、あなたは自分が変更を行っていることを知っています。5人の管理者がいる5年間で、誰が何を変更したかを知り、誰がどのキーを使用したかを監査ログで掘り下げたいと思うでしょう。
人々に自分自身としてログインさsudoせ、特権をエスカレートし、必要なことを何でもするようなものを使用させる方が良いでしょう。

それでもSSHキーを集中化する場合は、Puppetやradmindなどの展開システムを調べauthorized_keysて、適切な~user/.ssh/ディレクトリにファイルを管理/配布することをお勧めします（または、SCPを所定の場所に配置する自家製のソリューションをハックします）。
複数のサーバーに展開する場合、古いバージョンのOpenSSH（または新しいバージョンのOpenSSH のディレクティブと適切なスクリプト）のLDAP公開キーパッチを調べて、ユーザーを集中化して配布する必要がないようにすることもできます。ネットワーク全体でキーが使用されますが、それはかなり先のことです。AuthorizedKeysCommand