Как работают SSH-подключения по сертификатам?

SSH-подключения с помощью сертификатов:

Устойчивы к брутфорс-атакам и фишингу, пароли не передаются по сети.
Удобны для скриптов и CI/CD без риска хранения паролей.
Легко ограничивать и отзывать ключи, упрощает аудит.
Труднее взломать и проще контролировать, чем пароли.

Как это работает

Администратор устанавливает зашифрованное SSH-соединение с SSH-воркером, используя свои учетные данные (логин/пароль).
Воркер автоматически создает второе зашифрованное SSH-соединение с целевой системой, используя короткоживущие сертификаты от Vault.
Для доступа применяется привилегированная учетная запись (ПУЗ). SSH-воркер выступает мостом, безопасно перенаправляя трафик между сессиями администратора и целевой системы.
Подключение к целевой системе защищено временными сертификатами, которые генерируются Vault для каждой сессии и мгновенно отзываются после использования.
Целевая система доверяет только этим сертификатам, что исключает риск утечки постоянных учетных данных.

Как настроить проверку сертификатов

Чтобы целевая система проверяла сертификаты при подключениях, добавьте на ресурсе public_key в authorized_keys для каждого пользователя в его домашнем каталоге:

# Vault SSH for BPAM
TrustedUserCAKeys /домашний_каталог/.ssh/trusted-pam-user-ca-keys.pub

Также мы рекомендуем ограничить сетевой доступ таким образом, чтобы исключить прямой доступ от рабочих станций до целевых систем.

Вопросы и ответы

Как работают MFA-подключения по персональным сертификатам?