Bir Sistem Yöneticileri ekibi şifreleri nasıl güvenli bir şekilde paylaşır?

Birkaç kişi arasında yüzlerce şifreyi paylaşmak için en iyi yöntemler nelerdir? Bu şifreler kritik görev verilerini korur ve küçük bir ekibin ötesinde görünmez.

Muhtemelen bir şirket intranetinde barındırılan özel bir web tabanlı çözüm yazardım. ( İlham almak veya kullanmak için http://lastpass.com adresine bakın. Kullanmak için şifrelerinizi paylaşmak onun özelliklerinden biridir.

EDIT : Tabii, en iyi çözüm, onları paylaşmayın. Açık metin şifrelerini herhangi bir ortamda saklamak, özellikle saklamak amacı bunları paylaşmak olduğunda tehlikelidir. Her biri bir tehlike arz eden neredeyse sonsuz sayıda çözüm vardır. Neden onları şifrelenmiş bir disk görüntüsünün üzerine koymayın, bu görüntüyü tek bir CD'ye yazın, CD'yi yalnızca bir silahlı korumanın açabileceği bir kasaya koyun ve yetkili kişilerin kilidini açmaları için fotoğraf kimliğini sunmasını sağlayın.

Mesele şu ki, senaryonuzu gerçekten bilmiyoruz. Neden yüzlerce kritik görev şifresi paylaşıyorsunuz? Backoffice intranet'iniz için mi, VPN mi, yoksa bir nedenle düz metin olarak sakladığınız müşteri şifreleri mi? Paylaşmanız gereken tüm insanlar aynı kurulumda mı? Şifreli bir CD ya da kasada saklanan basılı bir masa gibi fiziksel bir aktarım gerçekten işe yarar mı? Yoksa sistem yöneticileriniz dünyaya yayılıyor ve onları tek çözüm olarak paylaşmanın elektronik yollarını mı kullanıyorlar?

En iyi uygulama şifreleri paylaşmak değildir. Kullanıcıların ihtiyaç duydukları erişimi kendi hesaplarından almalarını sağlamak için sudo gibi araçlar kullanın. Birkaç kullanıcınız varsa, gerektiğinde her birinin kendi hesabına sahip olması gerekir. LDAP (Unix / Linux) ve Active Directory, ortak bir veritabanından birden fazla sunucuya erişim sağlamak için iyi bir çözümdür.

Bir parolanın yazılı bir kopyasına sahip olmak gerektiğinde, bunu mühür üzerinde yazılı ve tarih atılmış bir zarfın içine yerleştirin. Kullanıldığında şifreyi değiştirin. Şifre değiştirildiğinde, yeni bir zarfı kapatın.

Gerçekten paylaşılması gereken şifreler için, veritabanlarını ağ üzerinde barındırabilen Keepass gibi parola araçlarından birini kullanın. Birden fazla platform için müşterileri olan araçlar daha iyidir. Birden fazla veritabanına ihtiyacınız olup olmadığını düşünün. Bu verilere erişimi olan herkese gerçekten güvenmeniz gerektiğini unutmayın.

Bu amaç için KeePass ile gittik . Tüm şifrelerinizi şifreli bir veritabanı dosyasında saklayan küçük bir programdır. Şifrelere erişmek için ana parola ile birlikte bir anahtar dosyaya ihtiyaç duymak gibi ek güvenlik özellikleri de vardır. Bu, herkesin tüm farklı şifrelerle çalışmasını kolaylaştırırken, birden fazla güvenlik katmanına (anahtar dosyayı ve veritabanını ayırın) olanak tanır. Örneğin, uygulamayı ve anahtar dosyasını bir USB sürücüsünden çalıştırabilir, ancak veritabanını bir yerde ağınızda depolayabilirsiniz. Bu ağ paylaşımı, ana parola ve anahtar dosya ile fiziksel USB sürücü için kimlik gerektirir.

Birkaç kişi arasında yüzlerce şifreyi paylaşmak için en iyi yöntemler nelerdir?

Kolay, bu iki lezzetle geliyor:

1. Yapmazsın, sade ve basit. Bunu yapmayı seçerseniz, parola doğrulamayı harici bir güvenilir otoriteye ertelersiniz ve oradan da doğrulamayı kontrol edersiniz.

2. Yaparsınız, ancak bunu yaparken, kullandığınız sistemin içine kaydedilmemiş şifreleri veya güvenlik belirteçleri olan harici erişim kontrolleriniz vardır (örneğin, şifrelerin kaydı sınırlı bir kullanılabilirliğe sahip başka bir şifre ile korunmaktadır). Bununla ilgili birçok sorun var.

Bu şifreler kritik görev verilerini korur ve küçük bir ekibin ötesinde görünmez.

Sorunu gidermek için bir dizin hizmetiyle bütünleşen güvenli bir kimlik doğrulama hizmetini ciddiye almalısınız. DS / AS kombinasyonu, tüm kullanıcılarınız ve cihazlarınız için arabuluculuk görevi görebilecek güvenilir bir "otorite" oluşturur. Kullanıcı hesapları, kimlik doğrulama işleminde kullanılan şifrelerden ayrı olarak erişilebiliyor, bu da şifreleri erişim politikasından "ayırmayı" kolaylaştırıyor. Şifrelerin kontrolü, kullanıcının hesabının devre dışı bırakılması; Bu nedenle, bir yönetici ayrılırsa, hesaplarını kapatmanız yeterli olur ve erişimi kesilir (çünkü bu kişinin şifresi yalnızca hesabın geçerli olduğunu onaylayan DS / AS'nin geçerliliğine bağlı olarak erişim izni verir).

Bu, yalnızca cihazlarınızın / programlarınızın kimlik doğrulama isteklerini dış kaynaklara aktarmasına izin veren bir ortamda olduğunuzda işe yarayacaktır, bu nedenle sizin için bir çözüm olmayabilir . Harici kimlik doğrulamasını barındırabilecek önemli miktarda cihazınız / programınız varsa, bir düzine kadar yönetilebilir bir listeye birkaç yüz şifreyi birleştirmek için devam edeceğim ve bunu yapacağım. Bu rotaya geçmeye karar verirseniz, kullanıma hazır, iyi bilinen ve iyi test edilmiş birkaç çözüm vardır.

• Active Directory Muhtemelen grubun en bilinenleri, size bir kimlik doğrulama seçeneği olarak Kerberos'u verir ve temel DS için LDAP'yi sunar.
• Samba / winbind. Bunu "Aktif Dizin Işığı" olarak düşünün, AD'nin tüm özelliklerini değil, NT4'e dayanan eski bir modeli (LANMAN hash'i düşünün) elde edersiniz. Bu, Samba 4'ün AD entegrasyonuyla desteklenecek ve muhtemelen "ortadan kalkacak".
• Novell Dizin Hizmetleri. Bunu önerecek kadar bilgim yok ama hala var olduğunu biliyorum. Birçok devlet kuruluşu hala NDS’yi yönetiyor, bu yüzden bu “sektörde” çalışıyorsanız, bu sizi ilgilendirir. Novell kısa süre önce NDS'yi bir Linux servisi olarak kullandı, ancak bunun hala aktif bir ürün olup olmadığını bilmiyorum (2005 dolaylarında).
• LDAP + Kerberos. Bu temelde "ev yetiştirilen" Active Directory, eksi tüm "güzel özellikler" dir. Bununla birlikte, aynı zamanda kararlı, olgunlaşmış bir kod tabanına sahip bileşenlerdir, bu nedenle bu hizmetlerin entegrasyonu genellikle işleri yürütmek için gereken "kişiselleştirme" nin kapsamıdır.
• SSH Keys + (buraya sistem yönetimi programını yerleştirin, muhtemelen kukla). Yalnızca panoda SSH bulunduğunuzda ve tüm cihazlara bu şekilde erişildiyse faydalıdır. Anahtarlar gerektiğinde dağıtılabilir ve iptal edilebilir ve SSH anahtarı erişim sağladığından şifreler "ilgisiz" hale gelir. Kukla gibi bir sistemi kullanmak, SSH anahtarları eklemek / iptal etmek için en üste komutlar vererek yüzlerce makineyi güncellemenizi sağlar.
• Yukarıdakilerin bir kombinasyonu.

Ayrıca ne kadar güvenliğe ihtiyacınız olduğuna dair bir soru var. “Kritik misyon” ile nükleer savaş başlıklarının şehirlere yağabileceğini mi, yoksa “kritik görev” in Furbies’in en son sevkıyatının kasabaya gelmeyeceği anlamına geldiğini söylemediniz. Risk / tehdit değerlendirmesini tanımlayan bir şey olsaydı gerçekten yardımcı olurdu.

Bir kaç şey:

• Diğerlerinin dediği gibi, bu kötü bir fikir. Bir LDAP vb. Kullanın.
• Herhangi bir sebeple bunu yapmaya kararlıysanız, en azından şifreleri birleştirin. 100 yönetilmeyen şifre, şifreleri güncellemediğiniz anlamına gelir.
• Onları kağıt üzerinde tut. Bir kağıdın kopyalanıp kopyalanmadığını belirlemeyi kolaylaştırmak için personelden kağıdı farklı bir renkli mürekkeple imzalamasını isteyin.
• Unix kullanıyorsanız, bir kerelik şifreler oluşturmak için S / KEY tuşunu kullanın. Onu güvenli bir yerde saklayın.

Ayrıca, kağıt şifreleri güvenli bir şekilde saklamanın veya şifreleri şifrelemenin mekanik güvenlik önlemlerinin ötesine geçmeniz gerekir. Olgun güvenlik modellerine sahip kuruluşların anahtarları ve emniyetli kombinasyonları nasıl koruduğunu öğrenin. Yapmak istediğini yapmanı tavsiye etmiyorum, ama yaparsan:

• Şifreleri kullanacak olan kişiler şifrelere erişimi kontrol edemezler. Farklı bir yönetim zinciri altındaki farklı bir grubun güvenli, çekmeceye, vb. Erişimi kontrol etmesi gerekir. Eğer bir finans grubunuz varsa, aday olabilirler. Belki pazarlama, vb.
• Kasa açıldığında ve birisinin şifresini aldığında yazılı bir günlük olması gerekir.
• Şifre kullanıma alındıktan sonraki 24 saat içinde değiştirilmelidir.

Bu gibi prosedürler boyundaki bir acıdır, ancak insanların daha aklı başında uygulamalar edinmeleri için bir teşvik edici olacaktır. Tanımladığım gibi bir şey yapmazsanız, şifreleri kilitleme hareketlerini denemekten çekinmeyin, çünkü yine de bir gün ihlal edilirsiniz.

Bunun eski bir soru olduğunu biliyorum, ancak yakın zamanda bazılarına ilginç olabilecek Kurumsal Vault adlı açık kaynaklı bir web tabanlı çözüme rastladım . Henüz deneme şansım olmadı.

Şifre Güvenli adlı bir program kullanıyoruz . çok güzel ve çok güvenli, veritabanını ağa bağlı bir sürücüde ayarlayabilir ve erişmesi gereken herkese güvenli bir şekilde şifrelenmiş tüm kullanıcı adlarını ve şifreleri saklayan şifreyi kendisine verebilir.

https://pypi.python.org/pypi/django-pstore/ , paylaşılan şifreler (ve paylaşmak isteyebileceğiniz diğer veriler) için kullanıcı başına GPG şifrelemesi kullanır. Sunucu hiçbir zaman şifreleri bilmez, yalnızca şifrelenmiş verileri tutar. Herkes, paylaşılan sırları çözmek için kendi özel anahtarını kullanır.

Sistem hak yönetimi içeriyor: herkes tam erişime sahip değil.

Kendi kendine barındırılan çözüm olarak https://passwork.me kullanıyoruz . Ancak şifreleri bulutlarında da saklayabilirsiniz.

SPB Cüzdan hayalet tarafından PW güvenli kullanmak için kullanılan iyi bir tanesidir, ancak SPB cüzdan uygulaması alırsanız bir ağ paylaşımına senkronize ve aynı zamanda iphone ile senkronize sağlar. Aynı zamanda yerleşik bir şifre oluşturucuya sahiptir ve bunları basit şifrelerden oldukça karmaşık şifreler oluşturabilirsiniz. Parola hala yıldız işaretindeyken parolayı da kopyalayabilirsiniz, böylece birileri arıyorsa, parolayı görmeden kimseye kopyalayıp yapıştırabilirsiniz. PC uygulaması, belirli bir süre etkinlik olmadığında otomatik olarak kilitlenir.

Diğer bir seçenek de , sırlarınızı güvenli bir şekilde saklayan ve bunlara programlı olarak erişim izni vermenize izin veren, şifrelerinizi kolayca döndüren vb. Azure Anahtar Kasasıdır . Bunun için hoş bir kullanıcı arayüzü yok, ancak komut satırı erişiminde sorun yaşarsanız bu iyidir.

En iyi yöntemimiz, mümkün olduğu kadar az sayıda şifreyi paylaşmaktır.

Bu nedenle, örneğin: - my.cnf dosyasını root home dizininde veritabanına şifreler için kullanın - ssh anahtarlarını kullanarak sunuculara giriş yapın ve yalnızca konsol üzerinden izin verilen bir root şifresine sahip olun (yani sunucuya fiziksel / bmc erişiminiz olmalıdır) ) - mümkün olan her yerde ldap kullanın (ssh, bmc, anahtarlar, redmine, ....)

Bununla birlikte, bu yaklaşımı kullanamadığımız (kök şifre gibi) birkaç durum vardır. Ardından paylaşılan depomuzda keepass kullanıyoruz , ancak gereken 10 şifreyi kadar koruyoruz.

Çok güzel bir soru. Diğer cevaplarla ilgilenirim.

İşte ne yapıyorum, ancak önce mümkün olduğunca önceden paylaşılan anahtarları kullanmanızı öneririm. Ancak bunun Windows sistemlerinde mümkün olup olmadığını bilmiyorum.

Parola miktarı az olması gerektiğinden (mümkün olduğunda anahtarları kullanıyorsunuz), NIC içermeyen bir sistemde gpg ile şifrelenmiş düz bir metin dosyası kullanıyorum. Yani (1) fiziksel erişime ve (2) bir şifreye ihtiyacınız var.

netlik için düzenlendi