如何使用木偶来维护跨系统重建的SSH主机密钥？

Question

我有一些实验室环境，在这些环境中，计算机需要定期重建，但需要保留相同的ssh主机密钥，以便每次升级实验室系统的OSes时，连接到实验室计算机的人(通常来自他们自己的系统，而不是我管理的系统)不会出现“主机更改”错误。

(这类似于处理SSH主机验证错误的最平滑的工作流？的问题，但在本例中，我们已经决定在系统重构中维护相同的密钥是最好的解决方案。)

现在，我有一个名为ssh的木偶模块，其中包含以下子句：

file { "/etc/ssh/":
  owner   => 'root',
  group   => 'root',
  mode    => '0644',
  source  => "puppet:///modules/ssh/$fqdn",
  recurse => true,
  require => Package['openssh-server'],
  notify  => Service['sshd'],
}

在傀儡主机上，每个主机都有自己的目录，其中包含所有主机密钥文件(ssh_host_key、ssh_host_dsa_key、ssh_host_rsa_key等)，这是file资源定义所隐含的。我的问题是，这就像是将代码和数据混合在一起(因为所有主机键都位于模块目录中)，每次添加一组新主机时，我都必须再次提交到Puppet。有更好的方法来管理这些事情吗？

Answer 1

我的建议是创建一个module或script，将您知道的主机上传到external服务器，然后在这个文件中给出一个sort -u，不包括任何重复的条目，然后将这个文件上传到所有机器，当然也要注意这个ssh_known_hosts中的新条目。