재해 복구를 위한 Break-Glass SSH 접근 구성

Teleport를 사용할 수 없는 경우 중요 시스템에 대한 비상 SSH 접근을 설정하는 가이드.

이 가이드는 다음과 같은 시나리오에서 Teleport 발급 인증서를 사용하여 OpenSSH를 통해 중요 에이전트 및 서버에 대한 비상 "break-glass" 접근을 구성하는 데 필요한 단계를 안내합니다: 서버의 Teleport 에이전트가 충돌, 오프라인 또는 사용 불가 상태가 된 경우. Teleport 제어 플레인이 다운되어 시스템에 접근할 수 없고 이를 수정하기 위한 대역 외 접근이 필요한 경우. 작동 방식 # Teleport의 user CA는 비상 재해 복구 시나리오에서 OpenSSH 서버에 접근 권한을 부여하는 데 사용할 수 있는 수명이 짧은 서명된 인증서를 발급할 수 있습니다. Teleport 에이전트와 함께 OpenSSH 서버를 Teleport의 user CA를 신뢰하도록 구성함으로써 유효한 Teleport 발급 인증서를 가진 사용자는 Teleport 자체가 다운된 경우에도 정적 SSH 키나 비밀번호 없이 서버에 인증할 수 있습니다. 다음 목표를 달성하는 단계를 자세히 설명합니다: Teleport 에이전트 머신에서 실행되는 대역 외 OpenSSH 서버가 Teleport의 user CA를 신뢰하도록 구성 원격 호스트에 breakglass 시스템 사용자 생성 Teleport에서 breakglass 역할 생성 Teleport Machine ID 봇( tbot )을 생성하여 지속적으로 Teleport CA를 사용하여 break-glass SSH 키와 인증서 발급 Teleport가 다운되거나 응답하지 않는 경우에도 Teleport 발급 인증서를 사용하여 원격 서버 접근 Warning 4단계 및 5단계에서 구성된 break-glass 자격 증명을 보유하는 모든 머신을 보호해야 합니다. 이 인증서에 접근할 수 있는 누구나 1단계의 지침에 따라 대역 외 OpenSSH 서버가 구성된 모든 머신에 접근할 수 있습니다. 또한 이 가이드를 통해 구성된 breakglass 사용자로서의 모든 접근은 Teleport 세션 녹화 및 감사 로깅을 우회할 수 있습니다. 이 프로세스를 통해서만 breakglass 사용자를 사용해야 하며, 이 사용자는 일반 Teleport 접근 경로를 사용할 수 없는 경우 비상 break-glass 접근 이외의 목적으로 절대 사용해서는 안 됩니다. 모든 breakglass 사용자의 사용은 이유와 관계없이 즉각적인 조사의 원인이 되어야 합니다. 사전 요구사항 # 로컬 머신에 OpenSSH 클라이언트 버전 7.4 이상. OpenSSH 서버( sshd ) 버전 7.4 이상이 있는 Linux 호스트. A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl` and `tsh` clients Determine the version of your Teleport cluster. The tctl an