Birden fazla SysAdmins için Şifre Yönetim Sistemi?

16

Kuruluşumun birden çok şifreyi güvenli bir şekilde depolamasına ve birden çok yöneticinin bunlara erişmesine izin verecek en iyi uygulamalar ve potansiyel açık kaynaklı projelerle ilgileniyorum. Her yöneticinin, tipik parola korumalı Excel elektronik tablosuna karşı kendi giriş / anahtarına sahip olmasına izin verecek bir şeyle ilgileniyorum. ;)

SSL üzerinden çalıştırabileceğim web tabanlı bir uygulama tercih edilir.

Mac / Linux ortamında çalışmasını istiyorum - Windows uygulaması yok, lütfen.

Teşekkürler!

linux  password 
Aaron Brown
kaynak
3
dupe: bkz serverfault.com/questions/10285/… ve diğerleri ..
Toto
3
Linux altında çalışacak bir çözüme ihtiyacım olduğunu belirtmeyi unuttum. Windows uygulaması yok, lütfen :)
Aaron Brown
Ben de bu sorun var, biz bizim satıcılardan olan kullanmamız gereken oldukça birkaç sistem var, şu anda bir gpg şifreli dosya kullanıyoruz, ama bu her yöneticinin her şifreye erişimi olduğu anlamına gelir - iyi değil. CLI, masaüstü veya web aracı olsun, ekibimizdeki farklı kişiler için farklı siteler (şifreler) için erişim listeleri tanımlayayım. 3. taraf uygulamalar için şifre yönetimi, gerçekten özen gerektiren bir şeydir. Bir topluluk wiki girişi oluşturmak için bakım belki bunun için gereksinimleri daha iyi bir şekilde
çözebilir
Bana öyle geliyor ki, ortak bir şifre deposuna erişmek için birden fazla yöneticinin kimliğini doğrulamak için gerçekten iyi bir çözüm yok. Bu tür beni şok ediyor. Belki sadece bir tane yazmak zorunda kalacağım.
Aaron Brown
1
Tam olarak, birden fazla sistem yöneticiniz olduğunda, kimin neye erişebileceğini kontrol etmenin ve her anahtarı / şifreyi değiştirmeden erişimini kaldırmanın bir yolu olmalıdır. Aynı zamanda denetleme için - kim hangi şifreye ve ne zaman erişti.
Aaron Brown

Yanıtlar:

3

Bunu kullanıyoruz: http://sourceforge.net/projects/phppassmanager/ (biraz değiştirildi / ayarlandı)

Ekibimize şifre almayı kısıtlamak için Active Directory kimlik doğrulamasına sahip bir HTTPS web sunucusuna yüklenir. Ekibin her üyesi phppassmanager saklanan tüm şifreleri şifrelemek için kullanılan bir ana şifre bilir. Parola eklemek / değiştirmek / okumak istediklerinde kullanırlar. Parolalar bir mysql veritabanında şifrelenmiş olarak saklanır.

Potansiyel olarak tüm şifrelere erişebilirler, ancak her şifre şifre çözme günlüğe kaydedilir ve günlükler ana sayfada tüm ekibe gösterilir. Bu sistem kendi kendini izler ve kendi kendini yönetir.

2

Kullandığım KeePass ve ben onunla çok mutluyum. Şifre yöneticisi kullanımı kolay bir açık kaynak kodludur.

Paul
kaynak
2
Pencereler ve sadece tek bir girişe izin verir. Her sysadmin ayrı olarak oturum açabilmek için çoklu giriş çözümüne ihtiyacım var, bu da bunu idare etmenin tek yönetilebilir ve güvenli yoludur. Dışarıda bunu yapan tonlarca ürün olmadığı için şok oldum.
Aaron Brown
1
Oh, yanılıyorum - KeePass diğer platformlara taşındı
Aaron Brown
evet, KeePass kesinlikle diğer platformlara taşındı.
Paul
0

Bu sistemle tam olarak neyi koruyorsunuz? Kontrol ettiğiniz sistemler veya üçüncü taraflarca çalıştırılan sistemler?

Dahili kimlik doğrulama için Kerberos, LDAP veya hatta sudo ve PKI gibi sistemler bunu halledebilir.

Harici bir kimlik doğrulama için, örneğin bir yazılım destek web sitesine, uyguladıkları herhangi bir sistem tarafından büyük ölçüde hamstung. KeePass (2.0 tür mono ile çalışır) veya PasswordGorilla gibi araçlar şifrelerinizi saklayabilir. İkisinin birden çok şifre çözme şifresi kavramını desteklediğini düşünmüyorum; Bunun matematiksel olarak nasıl çalışabileceğinden emin değilim.

jldugger
kaynak
LDAP ve kerberos, şifre yönetim sistemleri değil, kimlik doğrulama sistemleridir. Kök parolaları, yönlendirici parolalarını, LDAP Yöneticisi parolalarını depolamak için bir yola ihtiyacım var - sistem yöneticisinin dengelenmesi gereken 8 milyar paroladan herhangi biri.
Aaron Brown
Evet, evet, kimlik doğrulama sistemleri. Bunları, hokey excel tablosu olmadan Tek Oturum Açma özelliğini uygulamak için kullanırsınız.
jldugger
Anladığınızdan emin değilim. Her şey tek bir LDAP veya kerberos sunucusuna bağlanamaz, ne de gerekir. Örneğin sunucu kök parolaları hiçbir zaman LDAP'de saklanmamalı ve yönlendirici parolaları etkinleştirmemelidir.
Aaron Brown
Doğru yapın ve bu şifrelere erişimi kolaylaştırmak için bir araca ihtiyacınız yoktur. Evet, ağ kapalıysa, sistemlerinizde muhtemelen dahili kimlik doğrulaması gerekir. Ancak sunucular için neden sadece sudo ve PKI kullanmıyorsunuz? Kök hesabı yok, net denetim yok ve ağa bağlı değil.
jldugger
Biz yapmak kullanımı LDAP ve nerede biz bir PAM modülü ile Sudo. Ele alınması gereken bir düzine hesap daha var. Ayrıca, kök hesap parolalarının belgelenmesi gerekir ve her şey bir LDAP sistemine bağlanamaz. Ayrıca, LDAP'nin kullanılamaması ve sistemlere girmemiz gerektiğinde etrafta olması gereken hesaplar da vardır. Daha iyi bir yolunuz olduğunu düşündüğünüz için teşekkür ederiz, ancak zaten pratik ve mümkün olan yerlerde merkezi kimlik doğrulamayı kullanıyoruz. Hala arada sırada parolalara erişmesi gereken birden fazla sistem yöneticisi vardır.
Aaron Brown
0

Şimdiye kadar okuduğum şey için, veritabanı arka ucuna sahip herhangi bir wiki sistemi (dosya deposu arka ucuyla bile, ancak db'yi tercih ederim) sorununuzu çözmelidir. Kullanıcı hesaplarında ve yalnızca güvendiğiniz kişilerde (yöneticiler) uygun kısıtlamalar belirlemek, parola listelerini okuyabilir / değiştirebilir (düz bir html belgesinde :)).

SSL etkin sunucunun arkasına koyun ve veritabanına erişimi kısıtlayın.

Güneşli
kaynak
1
Güçlü bir denetim izi ve raporlama mekanizması olsaydı, bu iyi olurdu. Birisi kuruluştan ayrıldığında, değiştirilmesi gereken tüm şifreleri gösteren bir rapor çalıştırmak istiyorum. SSL korumalı bir wiki gibi bir şey güzel bir fikirdir, ancak bence parolaya özgü bir şemaya sahip olmak gerekir, böylece raporlamayı kolayca kolaylaştırabilir.
Evan Anderson
1
@Evan, belki de bu gereksinimi içerecek şekilde sorunuzu güncellemelisiniz.
Zoredache
1
Evan orijinal soruyu soran kişi değildi ...
Kamil Kisiel
0

PowerBroker , paylaşılan hesaplara erişimi denetlemek / denetlemek için özel olarak tasarlanmış bir satıcı ürünüdür; ancak, ana bilgisayar başına önemli bir lisans maliyeti vardır.

Murali Suriar
kaynak
0

Çok güvenlik bilincine sahip bir şirkette çalıştım ve 5 kişilik ekibimde KeePass'ı kullandık , çünkü şifreleme güçlü, çapraz platform ve birden fazla veritabanının kendinize aktarılmasını destekliyor. Anahtar kimlik doğrulaması gerektiren SSH girişleri aracılığıyla yalnızca dahili ağ üzerinden erişilebilen bir sistemde sakladık (şifre yok, teşekkürler!).

jtimberman
kaynak
Anahtarlar şifreli mi?
jldugger
Açık anahtar, sistemlere gönderilen tek şeydi. Özel anahtarlar bireylerin iş istasyonlarında kaldı.
jtimberman
0

Keypass kullanıyoruz Oldukça havalı bir yazılım, şifreleri kategoriye göre düzenleyebilirsiniz. Ancak, oturum açacak farklı düzeylerde kullanıcılara sahip olup olmadığınızdan emin değilim.

vmdaemon
kaynak
0

İhtiyacınız olan şeyin tam olarak olduğundan emin değilim, ama bu bizim için çalışıyor: SVN'mizde, hepimizin paylaştığı ortak bir anahtarla şifrelenmiş tüm kimlik bilgilerine sahip bir gpg şifreli metin dosyası tutuyoruz. Keepassx veya benzeri araçlar yerine bu yaklaşımın temel avantajları şunlardır: 1) oraya serbest form bilgisi koyabilir ve 2) gpg --decrypt bir boruya gönderilebilir ve bir terminalde kullanılabilir.

Tabii, bu sadece ~ 10 kişilik bir grup için işe yarıyor, ancak biraz delegasyon biraz ölçeklendirilebilir. Ayrıca, farklı erişim seviyeleri için aslında iki anahtarımız ve iki şifreli dosyamız var, ancak bu çok fazla değişmiyor.

Oh, ve şifreleri olabildiğince uzak tutmaya eğilimliyiz (esas olarak kişisel SSH anahtarlarıyla).

rpetre
kaynak
0

Aynı şeyi arıyorum ve ihtiyaçlarınıza uygun 2 tane buldum.

Web-KeePass - Bu gerekli olanı yapacak gibi görünüyor, ama hala tüm seçenekleri bulmaya çalışıyorum.

corporatevault - Çok temel ve erken aşamalarda. Arayüz bitmedi, ancak anlaması oldukça kolay buldum.

Joseph
kaynak
0

Bence sysPass iyi bir seçim. Sunduğu:

  1. AES-256 CBC ile şifre şifreleme.
  2. Kullanıcı ve grup yönetimi
  3. MySQL, OpenLDAP ve Active Directory kimlik doğrulaması.
  4. multilanguag
  5. ve çok daha fazlası
CDieck
kaynak
0

Thycotic Gizli Sunucu.

Bunu yıllardır şirketimde kullanıyoruz. Şifreleri otomatik olarak değiştirme, belirli şifrelere erişildiğinde gönderilen e-postalar gibi birçok harika özelliğe sahiptir.

Ayrıca düzenli güncellemeler sağlar ve özellikler eklerler.

https://thycotic.com/products/secret-server/

adivis12
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.