Binlerce sunucunun root şifresini yönetmek için en iyi çözüm nedir

12

Ben sistem yöneticisiyim. Üretim ortamında binlerce sunucuyu yönetmem gerekiyor. Meslektaşlarım ve ben bir merkezi yönetim sunucusu kullanıyoruz ve genel anahtarını diğer sunucular üzerinden dağıtıyoruz. Bu nedenle bu yönetim sunucusunu ssh'yi diğer sunuculara kullanabiliriz.

Bazen kök parolayı kullanmamız gerekir, örneğin sunucu kapalıyken, nedeni belirlemek için iLO kullanmamız gerekir.

Şu anda, paylaşılan bir kök şifre kullanıyoruz. Güvensiz. Ayrıca OPIE(Her Şeye Bir Kerelik Şifreler) gibi tek bir sunucu çözümüne de baktım , ancak çok fazla sunucumuz olduğundan, bu çok iyi bir fikir değil.

DÜZENLE:

Şifre yönetimi çözümünden istediğim:

  1. Güvenli olmalı, bir kerelik şifre harika bir çözümdür.
  2. Şifre kolayca girilebilir, bazen sunucuya monitör eklememiz veya yukarıda belirttiğim gibi iLO ile.
  3. Çözüm, sunucu çevrimdışı olsa bile çalışmalıdır (ağ bağlantısı olmadan)

Bu nedenle, bilinen bir komuttan (örneğin openssl passwd) oluşturulmuş olsa da, kök parolayı uzun ve rastgele bir dizeye ayarlamak iyi bir fikir değildir . Hatırlamak zor ve bazen üretmek zor (dizüstü bilgisayarım olmadan)

linux  root  password 
yegle
kaynak
1
Zaten kukla gibi bir yapılandırma yönetim sistemi mi kullanıyorsunuz? Ne kullanıyorsun?
Zoredache
Bunun için Kukla ++.
Tom O'Connor
Biz cfengine :-) kullanır
yegle

Yanıtlar:

5

Sen kullanabilirsiniz Kukla tüm sunuculara şifre değişikliğini dışarı itmek. Aşağıdaki gibi türüroot kullanarak tanımlarsınız :user

    user { 'root':
            ensure => present,
            password => '$1$blablah$blahblahblahblah',
    }

Şifrelenmiş şifreyi oluşturmak için:

openssl passwd -1 -salt "blah"

Belki de her ay değiştirmeyi öneririm --- belki SA'larınızın ezberlediği bir şema kullanarak. Ayrıca güvenli bir yöntemle dağıtabilir veya kasaya koyabilirsiniz.

Belmin Fernandez
kaynak
3

Her zaman devre dışı bırakılmış bir parola belirleyebilirsiniz. Bu, ağa herhangi bir ağ erişimini önler ve tek bir kullanıcı moduna önyükleme yaparsanız, çoğu dağıtım doğrudan bir kabuğa önyükleme yapar.

Bu muhtemelen düşündüğünüz kadar büyük bir güvenlik sorunu değildir. Yine de root şifresini atlamak önemsizdir, eğer grubunuzu bir şifre ile kilitlemediyseniz, hemen hemen herkes grubun initrd yerine bash başlatmasını söyleyebilir.

Tabii ki bu, bunun yerine önyükleyicinizi nasıl parola ile koruyacağınızı bulmanız gerektiği anlamına gelebilir.

Zoredache
kaynak
0

Merkezi yönetim ile bir defalık şifreler kullanabilirsiniz. Biliyorum, bu uygun değil "eth çevrimdışı ve iLO ile sunucu erişildiğinde çalışması gerekir".

Her neyse: Soru, sunucunun ne sıklıkta çevrimdışı olduğudur.

Böylece aşağıdaki kurulumu düşünebilirsiniz:

Privacyidea ( http://www.privacyidea.org ) gibi merkezi olarak yönetilen bir OTP çözümü kullanın . Kök kullanıcıya birkaç farklı OTP jetonu atayabilirsiniz. Her token farklı bir OTP PIN koduna sahiptir ve farklı bir cihazdır. Böylece tüm meslektaşlarınız kullanıcı kökü olarak giriş yapabilir, ancak denetim günlüğünde hangi jetonun doğrulandığını göreceksiniz, böylece hangi meslektaşınızın hangi zamanda giriş yaptığını öğrenebilirsiniz.

Sunucularda, pam_radius'u kimlik doğrulama isteğini RADIUS ve privacyIDEA'ya iletecek şekilde yapılandırmanız gerekir.

Aylak. Artık sunucunuz çevrimdışı oluyor. Bu durumda pam yığınızla oynamalısınız. Şöyle bir şey düşünebilirim:

auth sufficient pam_unix.so
auth required pam_radius.so use_first_pass

Böylece çevrimdışı sabit bir parola ile giriş yapabilirsiniz, aksi takdirde parola pam_radius'a teslim edilir ve privacyIDEA'ya karşı OTP olarak doğrulanır.

Https://www.howtoforge.com/manage-two-factor-authentication-in-your-serverfarm-with-privacyidea adresine bakın .

cornelinux
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.