System zarządzania hasłami dla wielu SysAdminów?

16

Interesują mnie najlepsze praktyki i potencjalne projekty open source, które pozwoliłyby mojej organizacji bezpiecznie przechowywać wiele haseł i umożliwić wielu administratorom dostęp do nich. Interesuje mnie coś, co pozwoliłoby każdemu administratorowi mieć własny login / klucz w porównaniu do typowego arkusza kalkulacyjnego Excel chronionego hasłem. ;)

Preferowana byłaby aplikacja internetowa, którą mogę uruchomić przez SSL.

Potrzebuję go do działania w środowisku Mac / Linux - proszę, nie ma aplikacji Windows.

Dzięki!

linux password Aaron Brown
źródło
3
dupe: patrz serverfault.com/questions/10285/... i inni ..
Toto
3
Zapomniałem wspomnieć, że potrzebuję rozwiązania, które będzie działało pod Linuksem. Proszę nie używać aplikacji Windows :)
Aaron Brown
Ja też mam ten problem, mamy sporo systemów, których musimy użyć, które pochodzą od naszych dostawców, teraz używamy pliku zaszyfrowanego gpg, ale to oznacza, że ​​każdy administrator ma dostęp do każdego hasła - to nie jest dobre. Wolę coś, co pozwoli mi zdefiniować listy dostępu dla różnych witryn (haseł) dla różnych osób w naszym zespole, niezależnie od tego, czy są to CLI, narzędzia komputerowe czy internetowe. Zarządzanie hasłami w aplikacjach innych firm to coś, co naprawdę wymaga opracowania. Postaraj się utworzyć wspólny wpis wiki, może lepiej
wymyślimy wymagania
Wydaje mi się, że nie ma naprawdę dobrego rozwiązania do obsługi uwierzytelniania wielu administratorów w celu uzyskania dostępu do wspólnego magazynu haseł. To mnie szokuje. Może po prostu będę musiał napisać jeden.
Aaron Brown,
1
Dokładnie, gdy masz wielu administratorów systemów, musi istnieć sposób kontrolowania, kto ma dostęp do tego, a także usuwania ich dostępu bez zmiany każdego klucza / hasła. Służy również do kontroli - kto uzyskał dostęp do hasła i kiedy.
Aaron Brown,

Odpowiedzi:

3

Używamy tego: http://sourceforge.net/projects/phppassmanager/ (nieco zmodyfikowany / dostrojony)

Jest zainstalowany na serwerze internetowym HTTPS z uwierzytelnianiem Active Directory, aby ograniczyć pobieranie hasła do naszego zespołu. Każdy członek zespołu zna hasło główne używane do szyfrowania wszystkich haseł przechowywanych w phppassmanager. Używają go, gdy chcą dodać / zmodyfikować / odczytać hasło. Hasła są przechowywane w postaci zaszyfrowanej w bazie danych mysql.

Potencjalnie mają dostęp do wszystkich haseł, ale każde deszyfrowanie hasła jest rejestrowane, a dzienniki są pokazywane całemu zespołowi na stronie głównej. System ten jest samonadzorowany i zarządzany samodzielnie.


źródło
2

Używam KeePass i jestem z tego bardzo zadowolony. Jest to łatwy w użyciu menedżer haseł typu open source.

Paweł
źródło
2
To jest Windows i pozwala tylko na jedno logowanie. Potrzebuję rozwiązania wielokrotnego logowania, aby każdy sysadmin mógł zalogować się osobno, co jest jedynym możliwym do zarządzania i bezpiecznym sposobem na poradzenie sobie z tym. Jestem zszokowany, że nie ma tam wielu produktów, które to robią.
Aaron Brown,
1
Och, mylę się - KeePass został przeniesiony na inne platformy
Aaron Brown
tak, KeePass został definitywnie przeniesiony na inne platformy.
Paul
0

Co dokładnie chronisz za pomocą tego systemu? Systemy, które kontrolujesz, czy systemy obsługiwane przez strony trzecie?

W przypadku wewnętrznego uwierzytelnienia systemy takie jak Kerberos, LDAP, a nawet tylko sudo i PKI mogą to obsłużyć.

Jeśli chodzi o zewnętrzne uwierzytelnianie, powiedzmy stronie pomocy technicznej oprogramowania, jesteś w dużym stopniu zahamowany przez dowolny system, który wdrażają. Narzędzia takie jak KeePass (2.0 trochę współpracuje z mono) lub PasswordGorilla mogą przechowywać twoje hasła. Nie sądzę, aby którekolwiek z nich wspierało pojęcie wielu oddzielnych haseł deszyfrujących; Nie jestem pewien, jak to mogłoby działać matematycznie.

jldugger
źródło
LDAP i Kerberos to systemy uwierzytelniania, a nie systemy zarządzania hasłami. Potrzebuję sposobu na przechowywanie haseł root, haseł routerów, haseł LDAP Manager - któregokolwiek z 8 miliardów haseł, które administrator systemu musi żonglować.
Aaron Brown,
Tak, tak, są to systemy uwierzytelniania. Używasz ich do wdrożenia rejestracji jednokrotnej bez arkusza kalkulacyjnego Excel Hokey.
jldugger
Nie jestem pewien, czy rozumiesz. Nie wszystko można podłączyć do jednego serwera LDAP lub kerberos, podobnie jak nie powinno. Na przykład hasła root serwera nie powinny być nigdy przechowywane w LDAP, a router nie powinien włączać haseł.
Aaron Brown,
Zrób to dobrze, a nie potrzebujesz narzędzia do usprawnienia dostępu do tych haseł. Tak, jeśli sieć nie działa, twoje systemy prawdopodobnie potrzebują wewnętrznego uwierzytelnienia. Ale w przypadku serwerów, dlaczego nie skorzystać z sudo i PKI? Brak konta root, przejrzysta kontrola i niezależne od sieci.
jldugger
Możemy zrobić przy użyciu protokołu LDAP i sudo w moduł PAM, gdzie możemy. Pozostaje jeszcze kilkanaście innych kont do załatwienia. Ponadto musi istnieć dokumentacja haseł do konta root i nie wszystko można podłączyć do systemu LDAP. Są też konta, które muszą być dostępne na wypadek, gdyby LDAP był niedostępny i musimy dostać się do systemów. Rozumiem, że uważasz, że masz lepszy sposób, ale już używamy scentralizowanego uwierzytelniania tam, gdzie jest to praktyczne i możliwe. Wciąż istnieje wiele sysadminów, którzy muszą mieć dostęp do haseł od czasu do czasu.
Aaron Brown,
0

Z tego co czytałem do tej pory, każdy system wiki z zapleczem bazy danych (nawet z zapleczem magazynu plików, ale wolałbym db) powinien rozwiązać twój problem. Ustawiając odpowiednie ograniczenia na kontach użytkowników, tylko osoby którym ufasz (administratorzy) będą mogły czytać / modyfikować listy haseł (w zwykłym dokumencie html :)).

Umieść go za serwerem obsługującym protokół SSL i ogranicz dostęp do bazy danych.

Słoneczny
źródło
1
Byłoby dobrze, gdyby istniała solidna ścieżka audytu i mechanizm raportowania. kiedy ktoś opuszcza organizację, chcę uruchomić raport, który pokazuje mi wszystkie hasła, które należy zmienić. Coś w rodzaju wiki chronionego przez SSL to fajny pomysł, ale moim zdaniem musi mieć trochę schematu specyficznego dla hasła, aby mógł łatwo ułatwić raportowanie.
Evan Anderson
1
@Evan, być może powinieneś zaktualizować swoje pytanie, aby uwzględnić ten wymóg.
Zoredache,
1
Evan nie był tym, który zadał oryginalne pytanie ...
Kamil Kisiel,
0

PowerBroker to produkt zaprojektowany specjalnie do kontrolowania / kontrolowania dostępu do współdzielonych kont; istnieje jednak znaczny koszt licencji na hosta.

Murali Suriar
źródło
0

Pracowałem w firmie dbającej o bezpieczeństwo i w moim 5- osobowym zespole korzystaliśmy z KeePass , ponieważ szyfrowanie jest silne, jest wieloplatformowe i obsługuje import wielu baz danych do twojego. Przechowaliśmy go w systemie, który był dostępny tylko przez sieć wewnętrzną poprzez loginy SSH, które wymagały uwierzytelnienia klucza (bez hasła, dzięki!).

jtimberman
źródło
Czy klucze są szyfrowane?
jldugger
Klucz publiczny był jedyną rzeczą wypchniętą do systemów. Klucze prywatne pozostały na stacjach roboczych poszczególnych osób.
jtimberman,
0

Używamy klucza To całkiem fajne oprogramowanie, możesz uporządkować hasła według kategorii. Nie jestem jednak pewien, czy możesz mieć różne poziomy użytkowników do logowania.

vmdaemon
źródło
0

Nie jestem do końca pewien, czy tego potrzebujesz, ale to działa dla nas: przechowujemy w naszej SVN plik tekstowy zaszyfrowany gpg ze wszystkimi danymi uwierzytelniającymi, zaszyfrowany wspólnym kluczem, który wszyscy udostępniamy. Głównymi zaletami tego podejścia zamiast keepassx lub podobnych narzędzi są: 1) można tam umieścić dowolne informacje i 2) gpg - dekrypt może być wysłany do potoku i użyty w terminalu.

Jasne, działa to tylko dla grupy ~ 10 osób, ale przy odrobinie delegacji można ją nieco zwiększyć. Ponadto mamy dwa klucze i dwa zaszyfrowane pliki dla różnych poziomów dostępu, ale to niewiele się zmienia.

Aha, i staramy się unikać używania haseł tak często, jak to możliwe (głównie przy użyciu osobistych kluczy SSH).

rpetre
źródło
0

Szukam dokładnie tego samego i znalazłem 2, które mogą pasować do twoich potrzeb.

Web-KeePass - Wygląda na to, że zrobiłby to, co jest potrzebne, ale wciąż próbuję wymyślić wszystkie opcje.

corporatevault - Jest to bardzo podstawowy i na wczesnym etapie. Interfejs nie jest skończony, ale bardzo łatwo go rozgryźć.

Joseph
źródło
0

Myślę, że sysPass to dobry wybór. Oferuje:

  1. Szyfrowanie hasła za pomocą AES-256 CBC.
  2. Zarządzanie użytkownikami i grupami
  3. Uwierzytelnianie MySQL, OpenLDAP i Active Directory.
  4. Multilanguag
  5. i wiele więcej
CDieck
źródło
0

Thycotic Secret Server.

Używamy tego od wielu lat w mojej firmie. Ma wiele przydatnych funkcji, takich jak automatyczne zmienianie haseł, wiadomości e-mail wysyłane po uzyskaniu dostępu do niektórych haseł itp.

Zapewniają również regularne aktualizacje i dodają funkcje.

https://thycotic.com/products/secret-server/

adivis12
źródło