BR-Linux.org

Quem usa o SSH sem senha em múltiplos servidores sabe a ginástica necessária para garantir que os pares corretos de chaves estejam disponíveis em cada nó, especialmente quando há a necessidade de renovar alguma delas.

Este artigo do CloudFlare explica como substituir o tradicional arquivo authorized_keys por chaves armazenadas em um servidor DNS, e usar o DNSSEC para verificar as respostas desse servidor DNS, mesmo que ele esteja exposto à Internet.

O método tem suas complexidades, limitações e requisitos, e o artigo os detalha também. (via blog.cloudflare.com - “Flexible, secure SSH with DNSSEC”)