Система управління паролем для декількох SysAdmins?

16

Мене цікавлять найкращі практики та потенційні проекти з відкритим кодом, які дозволять моїй організації надійно зберігати декілька паролів та дозволяти декільком адміністраторам отримувати доступ до них. Мене цікавить щось, що дозволило б кожному адміністратору мати власний логін / ключ проти типової електронної таблиці Excel, захищеної паролем. ;)

Кращим буде веб-додаток, на якому я можу працювати над SSL.

Мені потрібно, щоб він працював у середовищі Mac / Linux - будь-які додатки для Windows, будь ласка.

Спасибі!

linux  password 
Аарон Браун
джерело
3
dupe : див. serverfault.com/questions/10285/… та ін ..
Toto
3
Я забув згадати, що мені потрібно рішення, яке працюватиме під Linux. Немає програм для Windows, будь ласка :)
Аарон Браун
У мене теж є ця проблема, у нас є досить багато систем, які нам потрібно використовувати, які є у наших постачальників, зараз ми використовуємо зашифрований файл gpg, але це означає, що кожен адміністратор має доступ до кожного пароля - не дуже добре. Я б хотів щось, що дозволить мені визначити списки доступу для різних сайтів (паролів) для різних людей в нашій команді, будь то CLI, настільний ПК або веб-інструмент. Управління паролем для додатків сторонніх розробників справді потребує розробки. Спробуйте створити запис у вікі-комуні, можливо, ми зможемо краще розробити вимоги до нього
serverhorror
Мені здається, що немає справді хорошого рішення для обробки автентифікації декількох адміністраторів для доступу до загального магазину паролів. Такий вид мене шокує. Можливо, мені доведеться просто написати один.
Аарон Браун
1
Саме тоді, коли у вас є кілька системних адміністраторів, повинен бути спосіб контролювати, хто має доступ до чого, а також видаляти їх доступ, не змінюючи кожен ключ / пароль. Це також для аудиту - хто отримав доступ до пароля і коли.
Аарон Браун

Відповіді:

3

Ми використовуємо це: http://sourceforge.net/projects/phppassmanager/ (трохи змінене / налаштоване)

Він встановлений на веб-сервері HTTPS з автентифікацією Active Directory для обмеження пошуку паролів для нашої команди. Кожен член команди знає головний пароль, який використовується для шифрування всіх паролів, що зберігаються в phppassmanager. Вони використовують його, коли хочуть додати / змінити / прочитати пароль. Паролі зберігаються зашифрованими в базі даних mysql.

Вони потенційно мають доступ до всіх паролів, але кожне розшифрування пароля реєструється, а журнали показуються всій команді на головній сторінці. Ця система самоконтролюється та керується нею.

2

Я використовую KeePass, і я дуже задоволений цим. Це простий у користуванні диспетчер паролів з відкритим джерелом.

Пол
джерело
2
Це вікна та дозволяє лише одне вхід. Мені потрібно рішення з декількома входами, щоб кожен sysadmin міг увійти окремо, що є єдиним керованим та безпечним способом вирішити це. Я вражений тим, що там немає тонн продуктів, які це роблять.
Аарон Браун
1
Ой, я помиляюся - KeePass був перенесений на інші платформи
Аарон Браун
так, KeePass однозначно був перенесений на інші платформи.
Пол
0

Що саме ви захищаєте за допомогою цієї системи? Системи, якими ви керуєте, або системи, якими керують треті сторони?

Для внутрішньої автентифікації такі системи, як Kerberos, LDAP або навіть просто sudo та PKI, можуть впоратися з цим.

Що стосується зовнішньої аутентифікації, скажіть, на веб-сайті з підтримки програмного забезпечення, ви значною мірою перешкоджаєте будь-якій системі, яку вони застосовують. Такі інструменти, як KeePass (2,0 працює на моно) або PasswordGorilla можуть зберігати ваші паролі. Я не думаю, що жоден з них не підтримує жодного поняття про кілька окремих паролів розшифровки; Я не впевнений, як це могло працювати математично.

jldugger
джерело
LDAP та kerberos - це системи аутентифікації, а не системи управління паролями. Мені потрібен спосіб зберігання кореневих паролів, паролів маршрутизатора, паролів менеджера LDAP - будь-якого з 8 мільярдів паролів, необхідних системному адміністратору.
Аарон Браун
Так, так, це системи аутентифікації. Ви використовуєте їх для реалізації єдиного входу без електронної таблиці hokey excel.
jldugger
Я не впевнений, що ти розумієш. Не все може бути підключено до одного сервера LDAP або kerberos, а також не слід. Наприклад, паролі кореневих серверів ніколи не повинні зберігатися в LDAP, а також маршрутизатор не повинен включати паролі.
Аарон Браун
Зробіть це правильно, і вам не потрібен інструмент для упорядкування доступу до цих паролів. Так, якщо мережа не працює, вашим системам, швидше за все, потрібна внутрішня автентифікація. Але у випадку із серверами, чому б не просто використовувати sudo та PKI? Немає кореневого облікового запису, чіткого аудиту та не залежить від мережі.
jldugger
Ми робимо використання LDAP і SUDO з модулем PAM , де ми можемо. Є ще десяток інших рахунків, з якими потрібно розібратися. Крім того, повинна бути документація паролів кореневого облікового запису, і не все можна підключити до системи LDAP. Також є облікові записи, які потрібно мати, якщо LDAP недоступний і нам потрібно потрапити в системи. Я вдячний, що ви вважаєте, що у вас є кращий спосіб, але ми вже використовуємо централізовану аутентифікацію там, де це практично і можливо. Є ще кілька системних адміністраторів, які потребують періодичного доступу до паролів.
Аарон Браун
0

Щодо того, що я читав до цих пір, будь-яка система wiki з архівом бази даних (навіть із резервним файлом зберігання файлів, але я вважаю за краще db) повинна вирішити вашу проблему. Встановивши належні обмеження для облікових записів користувачів, і лише ті люди, яким ви довіряєте (адміністратори), зможуть читати / змінювати списки паролів (у звичайному html doc :)).

Помістіть його за підтримкою SSL та обмежте доступ до бази даних.

Сонячно
джерело
1
Це було б добре, якщо б існував надійний аудиторський слід та механізм звітності. коли хтось залишає організацію, я хочу запустити звіт, який показує мені всі паролі, які потрібно змінити. Щось на зразок захищеної SSL-вікі - це приємна ідея, але, на мій погляд, вона повинна мати трохи схеми, що відповідає паролю, щоб вона могла легко полегшити звітування.
Еван Андерсон
1
@Evan, можливо, ви повинні оновити своє запитання, щоб включити цю вимогу.
Zoredache
1
Не було Евана, який задав оригінальне запитання ...
Каміль Кісієль,
0

PowerBroker - продукт постачальника, розроблений спеціально для контролю / аудиту доступу до спільних облікових записів; однак, існує значна вартість ліцензії на одного господаря.

Муралі Суріар
джерело
0

Я працював у дуже безпечній компанії, і в моїй команді з 5 ми використовували KeePass , оскільки шифрування сильне, це крос-платформа і підтримує імпорт декількох баз даних у вашу власну. Ми зберігали його в системі, доступній лише через внутрішню мережу через SSH логіни, які вимагали аутентифікації ключів (немає паролів, дякую!).

jtimberman
джерело
Чи зашифровані ключі?
jldugger
Публічний ключ був єдиним, що було висунуто до систем. Приватні ключі залишалися на робочих місцях людей.
jtimberman
0

Ми використовуємо клавіатурний ключ. Це досить класна частина програмного забезпечення, ви можете упорядкувати паролі за категорією. Однак я не впевнений, чи можуть у вас входити різні рівні користувачів.

vmdaemon
джерело
0

Я не зовсім впевнений, що це вам потрібно, але це працює для нас: ми зберігаємо в нашому SVN текстовий файл, зашифрований gpg, з усіма обліковими записами, зашифрований загальним ключем, яким ми всі ділимося. Основними перевагами цього підходу замість Keepassx або подібних інструментів є: 1) можна розмістити туди інформацію у вільній формі та 2) gpg --decrypt може бути відправлений в трубу і використаний в терміналі.

Звичайно, це працює лише для групи з 10 осіб, але, маючи делегацію, можна трохи збільшити масштаб. Крім того, у нас фактично є дві клавіші та два зашифровані файли для різних рівнів доступу, але це не сильно змінюється.

О, і ми прагнемо максимально триматися подалі від обробки паролів (головним чином, з особистими ключами SSH).

rpetre
джерело
0

Я шукаю саме таку річ, і я знайшов 2, які можуть відповідати вашим потребам.

Web-KeePass - Схоже, це робило б те, що потрібно, але я все ще намагаюся розібратися у всіх варіантах.

Корпоративні - Це дуже просто і на ранніх стадіях. Інтерфейс не закінчений, але мені це було досить легко зрозуміти.

Йосип
джерело
0

Я думаю, що sysPass - хороший вибір. Він пропонує:

  1. Шифрування паролем за допомогою AES-256 CBC.
  2. Управління користувачами та групами
  3. Аутентифікація MySQL, OpenLDAP та Active Directory.
  4. Багатомовний
  5. і багато іншого
CDieck
джерело
0

Thycotic Secret Server.

Ми використовуємо це вже багато років у моїй компанії. Він має багато функцій, зокрема автоматичної зміни паролів, електронних листів, що надсилаються під час доступу до певних паролів тощо.

Вони також пропонують регулярні оновлення та додають функції.

https://thycotic.com/products/secret-server/

adivis12
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.