Система управления паролями для нескольких SysAdmins?

16

Мне интересны лучшие практики и потенциальные проекты с открытым исходным кодом, которые позволят моей организации безопасно хранить несколько паролей и позволили нескольким администраторам получать к ним доступ. Меня интересует то, что позволило бы каждому администратору иметь свой собственный логин / ключ по сравнению с обычной электронной таблицей Excel, защищенной паролем. ;)

Предпочтительным будет веб-приложение, которое я могу запускать через SSL.

Мне нужно, чтобы он работал в среде Mac / Linux - пожалуйста, никаких приложений для Windows.

Благодарность!

linux  password 
Аарон Браун
источник
3
обман: см. serverfault.com/questions/10285/… и другие ..
Тото
3
Я забыл упомянуть, что мне нужно решение, которое будет работать под Linux. Нет приложений для Windows, пожалуйста :)
Аарон Браун
У меня тоже есть эта проблема, у нас есть довольно много систем, которые мы должны использовать, от наших поставщиков, сейчас мы используем зашифрованный файл gpg, но это означает, что у каждого администратора есть доступ к каждому паролю - не очень хорошо. Я бы предпочел что-то, что позволило бы мне определять списки доступа для разных сайтов (пароли) для разных людей в нашей команде, будь то CLI, рабочий стол или веб-инструмент. Управление паролями для сторонних приложений - это то, что действительно нуждается в разработке. Постарайтесь создать запись в Википедии о коммюнике, может быть, мы сможем лучше определить требования к ней
serverhorror
Мне кажется, что нет действительно хорошего решения для аутентификации нескольких администраторов для доступа к общему хранилищу паролей. Это меня шокирует. Может быть, я просто должен написать один.
Аарон Браун
1
Точно, когда у вас есть несколько системных администраторов, должен быть способ контролировать, кто имеет доступ к чему-либо, а также удалять их доступ без изменения каждого ключа / пароля. Это также для аудита - кто и когда получил доступ к паролю.
Аарон Браун

Ответы:

3

Мы используем это: http://sourceforge.net/projects/phppassmanager/ (немного изменен / настроен)

Он установлен на веб-сервере HTTPS с аутентификацией Active Directory, чтобы ограничить получение пароля нашей командой. Каждый член команды знает главный пароль, используемый для шифрования всех паролей, хранящихся в phppassmanager. Они используют его, когда хотят добавить / изменить / прочитать пароль. Пароли хранятся в зашифрованном виде в базе данных MySQL.

Они потенциально имеют доступ ко всем паролям, но каждое расшифровка пароля записывается в журнал, и журналы показываются всей команде на главной странице. Эта система контролируется и управляется самостоятельно.

2

Я использую KeePass, и я очень доволен этим. Это простой в использовании менеджер паролей с открытым исходным кодом.

Павел
источник
2
Это окна и позволяет только один логин. Мне нужно решение для нескольких входов в систему, чтобы каждый системный администратор мог войти в систему отдельно, что является единственным управляемым и безопасным способом справиться с этим. Я шокирован тем, что нет тонны продуктов, которые делают это.
Аарон Браун
1
О, я ошибаюсь - KeePass был портирован на другие платформы
Аарон Браун
да, KeePass был определенно портирован на другие платформы.
Пол
0

Что именно вы защищаете с помощью этой системы? Системы, которыми вы управляете, или системы, управляемые третьими лицами?

Для внутренней аутентификации такие системы, как Kerberos, LDAP или даже просто sudo и PKI могут справиться с этим.

Для внешней аутентификации, скажем, на веб-сайте поддержки программного обеспечения, вы в значительной степени подвержены влиянию любой системы, которую они внедряют. Такие инструменты, как KeePass (2.0 вроде работает с моно) или PasswordGorilla, могут хранить ваши пароли. Я не думаю, что кто-либо из них поддерживает какое-либо понятие нескольких отдельных паролей дешифрования; Я не уверен, как это могло сработать математически.

jldugger
источник
LDAP и kerberos являются системами аутентификации, а не системами управления паролями. Мне нужен способ хранения корневых паролей, паролей маршрутизатора, паролей LDAP Manager - любого из 8 миллиардов паролей, которые системный администратор должен манипулировать.
Аарон Браун
Да, да, это системы аутентификации. Вы используете их для реализации единого входа без электронной таблицы hokey excel.
Jldugger
Я не уверен, что вы понимаете. Не все могут быть подключены к одному серверу LDAP или kerberos, и не должно. Например, пароли корневых серверов сервера никогда не должны храниться в LDAP, а маршрутизатор не должен включать пароли.
Аарон Браун
Делайте это правильно, и вам не нужен инструмент для упрощения доступа к этим паролям. Да, если сеть не работает, ваши системы, вероятно, нуждаются во внутренней аутентификации. Но в случае с серверами, почему бы просто не использовать sudo и PKI? Нет учетной записи root, четкий аудит и не зависит от сети.
Jldugger
Мы делаем использование LDAP и SUDO с модулем PAM , где мы можем. Есть еще дюжина других аккаунтов, с которыми нужно иметь дело. Кроме того, должна быть документация паролей учетной записи root, и не все может быть подключено к системе LDAP. Также есть учетные записи, которые должны присутствовать в случае, если LDAP недоступен, и нам нужно войти в системы. Я ценю, что вы думаете, что у вас есть лучший способ, но мы уже используем централизованную аутентификацию там, где это практично и возможно. Есть все еще несколько системных администраторов, которым необходимо время от времени иметь доступ к паролям.
Аарон Браун
0

Из того, что я читал до сих пор, любая вики-система с бэкэндом базы данных (даже с бэкэндом хранилища файлов, но я бы предпочел db) должна решить вашу проблему. Установка надлежащих ограничений для учетных записей пользователей, и только люди, которым вы доверяете (администраторы), смогут читать / изменять списки паролей (в простом HTML-документе :)).

Поместите его позади сервера с поддержкой SSL и ограничьте доступ к базе данных.

Солнечный
источник
1
Это было бы хорошо, если бы был надежный контрольный журнал и механизм отчетности. когда кто-то покидает организацию, я хочу запустить отчет, который показывает мне все пароли, которые необходимо изменить. Что-то вроде вики, защищенной SSL, - хорошая идея, но, на мой взгляд, она должна иметь немного специфичную для пароля схему, чтобы она могла легко упростить создание отчетов.
Эван Андерсон
1
@ Эван, возможно, вам следует обновить свой вопрос, чтобы включить это требование.
Зоредаче
1
Эван не тот, кто задавал оригинальный вопрос ...
Камил Кисиэль
0

PowerBroker - это продукт поставщика, разработанный специально для контроля / аудита доступа к общим учетным записям; однако, существует значительная стоимость лицензии на хост.

Мурали Суриар
источник
0

Я работал в очень заботящейся о безопасности компании, и в моей команде из 5 человек мы использовали KeePass , потому что шифрование надежное, оно кросс-платформенное и поддерживает импорт нескольких баз данных в вашу собственную. Мы сохранили его в системе, доступ к которой осуществлялся только через внутреннюю сеть через SSH-логины, для которых требовалась аутентификация по ключу (без паролей, спасибо!).

jtimberman
источник
Ключи зашифрованы?
Jldugger
Открытый ключ был единственной вещью, выдвинутой в системы. Закрытые ключи остались на рабочих местах людей.
Jtimberman
0

Мы используем keypass. Это довольно классная программа, вы можете организовать пароли по категориям. Тем не менее, я не уверен, что вы можете иметь разные уровни пользователей для входа в систему.

vmdaemon
источник
0

Я не совсем уверен, что это то, что вам нужно, но это работает для нас: мы храним в нашем SVN текстовый файл в формате gpg со всеми учетными данными, зашифрованный с помощью общего ключа, который мы все совместно используем. Основными преимуществами этого подхода вместо keepassx или подобных инструментов являются: 1) можно помещать туда информацию в произвольной форме и 2) gpg --decrypt можно отправлять в канал и использовать в терминале.

Конечно, это работает только для группы из ~ 10 человек, но с небольшим делегированием может быть немного увеличено. Кроме того, у нас есть два ключа и два зашифрованных файла для разных уровней доступа, но это мало что меняет.

О, и мы склонны избегать обработки паролей в максимально возможной степени (главным образом с личными ключами SSH).

rpetre
источник
0

Я ищу точно такую ​​же вещь, и я нашел 2, которые могут соответствовать вашим потребностям.

Web-KeePass - похоже, он будет делать то, что нужно, но я все еще пытаюсь выяснить все варианты.

corporatevault - это очень простой и ранний этап. Интерфейс не закончен, но мне было довольно легко разобраться.

Джозеф
источник
0

Я думаю, что sysPass - хороший выбор. Это предлагает:

  1. Шифрование пароля с помощью AES-256 CBC.
  2. Управление пользователями и группами
  3. Проверка подлинности MySQL, OpenLDAP и Active Directory.
  4. Multilanguag
  5. и многое другое
CDieck
источник
0

Thycotic Secret Server.

Мы использовали это в течение многих лет в моей компании. Он имеет множество отличных функций, таких как автоматическое изменение паролей, электронные письма, отправляемые при доступе к определенным паролям, и т. Д.

Они также предоставляют регулярные обновления и добавляют функции.

https://thycotic.com/products/secret-server/

adivis12
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.