Вопрос: Как вы управляете паролями для большого количества серверов?


Учитывая, насколько важно иметь разные пароли для разных систем, как работает центр обработки данных с тысячами серверов? На данный момент я управляю несколькими десятками машин, но число растет, особенно виртуальные машины. Если вы клонируете виртуальную машину, у нее будет тот же пароль, и если это будет частью автоматизированного рабочего процесса, у него мало шансов его изменить. Если вы автоматизируете изменение паролей, это необходимо сделать безопасно, и вы вернетесь к одной точке отказа. Итак, что делают люди?

Я должен объяснить, что проблема не связана с паролями (для этого есть много генераторов паролей), но имеет эффективный процесс установки и записи, особенно когда машины создаются автоматически.


7
2018-02-27 11:05


Источник


Здесь есть аналогичный вопрос, касающийся корпоративных парольных сейфов. serverfault.com/questions/119892 - Nathan Hartley


Ответы:


В большинстве мест используются два набора паролей: онлайновая аутентификация и автономные пароли. Онлайновая аутентификация обычно выполняется с помощью системы аутентификации / авторизации (AA), такой как Kerberos. Каждому пользователю-администратору назначаются соответствующие токены и права доступа на серверах

Для автономного администрирования критически важных систем корневые пароли хранятся отдельно (в нашем случае в физически отключенной системе). Весь доступ к списку паролей регистрируется, и пользователю необходимо ввести мотивацию для получения корневого пароля сервера. Раньше автономный список паролей представлял собой распечатанный список, хранящийся в сейфе.

При настройке виртуальной машины вы обычно можете рассчитывать на отсутствие корневого пароля и просто назначать он-лайн аутентификацию / авторизацию. Очень маловероятно, что вам необходимо управлять машинами VM, когда ваши серверы AA находятся в автономном режиме.


2
2018-02-27 11:51





Даже если вы используете LDAP, большинство систем имеют учетную запись root / superadmin для автономной проверки подлинности, если каждый экземпляр LDAP не работает. Вещи, которые не должны произойти, будут раньше, чем позже.

LDAP мог будь то ваш ответ в этом случае, но для автономного пароля администратора root вы должны использовать центральный CMDB, новый случайный пароль для каждого сервера и какие-то автоматические подпрограммы для регулярного изменения этих паролей и, конечно же, проверить изменения, которые были сделанный.

Если вы клонируете виртуальную машину (которую я не думаю, что вам следует делать, но это другое дело), ​​необходимо выполнить определенные процедуры, и один из них должен быть сброшен для всех паролей.

Изменить: ответить на заголовок «Как вы выбираете пароли для большого количества серверов?» -Ты нет. Я бы использовал случайные для всех серверов. Реальный вопрос заключается в том, как и когда вы обнаружите, когда кто-то нарушил ваши серверы.


4
2018-02-27 11:50



+1 Kerberos также хороший механизм входа. - Chris S


Я бы посоветовал не передавать пароли между машинами. Если кто-то взломан, потенциально все ваши компьютеры подвержены риску. Однако, если вам нравится идея переустановки их всех ... :)

Я бы не использовал пароли, которые вы можете разработать, например. часть имени хоста, адрес ip / mac и т. д. Лично я бы использовал некоторое программное обеспечение, предназначенное для безопасного хранения паролей, например Keepass, Разрешить keepass генерировать пароли для вас. Я использую по крайней мере 12 символов и включаю числа, прописные и строчные буквы, но я использую параметр «избегать похожих символов», когда вам приходится вручную вводить пароль.


4
2018-02-27 11:51



+1 для KeePass; у нас было 280 с лишним паролей в последнем счете, и это помогает нам отслеживать. - RainyRat
+1 для KeePass также, используя его на Windows и Mac здесь - Andy Shellam
+1 для KeePass; Используется для отслеживания всего внутреннего и внешнего. Позволяет легко отслеживать случайные пароли. Просто контролируйте доступ к нему осторожно. И это не значит, что вам не нужно менять все эти пароли, когда у вас есть оборот. - ongle


С помощью этого множества систем двухфакторная аутентификация через LDAP будет работать хорошо. С одним из факторов является RSA secureid. Если взломщик должен был найти пароль пользователя, им все равно понадобилось бы по крайней мере три поколения RSA в ряду, прежде чем они смогут дублировать будущие поколения. Сильные политики паролей для загрузки.


2
2018-02-27 11:17





У нас есть приложение, работающее как локальная служба, которая выбирает случайный пароль каждые несколько недель и меняет его. Мы используем веб-портал, который подключается к базе данных, где хранится хешированный пароль, когда нам нужно использовать локальную учетную запись администратора.


1
2018-02-27 13:27





Если вы используете debian, вы можете

apt-get install pwgen

Затем запустите

pwgen -s 10

Вы получите список таких паролей:

f8v80OYXeI 5MjxYpIIv2 Tm21s5L2Cn OIcli0rFzO baOxEpe76k Lkk4RrnbU0 JxmBJ2INUf
Opz0suRZ3w CItzZfEm2L e2C02fwjYI NG9szPlwiR fhr5IyY1VO 1C8GvLztE5 lYaKJFQ5vh
aAjQLPShN4 w3mMCM5ZGD 58qPYdXpQv 5Ai9vo98Tu O8MEczVUvm ZMnFNJM7Yw xA92RM2SIU
aGKHaR0Ow2 XCKdv966YN pEy1xnll4r 281ffAgBE4 dTCbw5eS0D dUWPqrW7GP yXTuubWHJ1
0nOFEatyuD nSefCV8yRG J7bgHIrEZ3 wDQWtG7QLz AOGGQx1agh zEDUp3Bt4I BS3m3EYf9q
...

Это случайный выбор 10 паролей персонажей, которые будут сложны для грубой силы. («-S» делает их случайными, по умолчанию pwgen делает их произносимыми)


0
2018-02-27 12:55