Come gestire la memorizzazione dei dati di accesso per vari progetti e server web?

5

Ciao e mi scuso in anticipo se questa domanda non si adatta alla sezione programmatori di stackexchange.

Cercherò di chiarire qual è il problema raccontando una storia da cui il problema ha origine. Sto lavorando in una piccola azienda (8 persone) in cui abbiamo sviluppatori, amministratori di sistema e personale che gestisce le chiamate giornaliere.

Il problema sono gli accessi. Vi sono vari accessi, ad esempio login root del server web. Poi c'è l'accesso a MySQL, il login per le applicazioni che sviluppiamo e per rendere la cosa ancora più complessa - gli accessi differiscono dalle versioni di sviluppo e test locali a quelle effettivamente implementate che rendono il tutto ancora più complicato. Quello che sta succedendo è che nessuno conosce tutti gli accessi, e sono scritti in qualche posto in profondità su file criptati o certe persone li conoscono a memoria. Se qualcuno che conosce il login per la cosa con cui dobbiamo lavorare è lontano (diciamo festivo), il processo di recupero dell'accesso diventa un gran casino.

Ora siamo consapevoli di quanto sia terribile e stiamo cercando di migliorare la nostra gestione degli accessi / dei progetti. L'altro problema è che non tutti dovrebbero conoscere tutti gli accessi.

La mia domanda è: in che modo (o come vorresti) gestire l'archiviazione degli accessi come le informazioni di root del web server, l'accesso all'amministratore di app web ecc. in modo tale che sia disponibile per tutti all'interno dell'azienda, ma con accesso limitato ( ad esempio, una segretaria non può ottenere dettagli di root, nessuna offesa ai segretari)?

P.S. Ho appena trascorso 3 ore a ottenere i dettagli di accesso per modificare un semplice errore di ortografia in un progetto che impiegava esattamente 1 secondo dopo aver ricevuto le informazioni. Vedendo che non posso permettermi di perdere più nervi o tempo per cose così apparentemente banali, supplico aiuto a persone esperte e intelligenti. Grazie in anticipo:)

    
posta Mjh 16.08.2011 - 13:53
fonte

5 risposte

6

Quasi tutti i prodotti server o i prodotti destinati alle aziende possono utilizzare LDAP . Direi che è irresponsabile non farlo al giorno d'oggi.

Imposta un server di directory se non ne hai già uno, configura prodotti server come mysql per usarlo, quindi aggiorna i sistemi di autenticazione in tutti i prodotti di cui sei proprietario. Un accesso per ogni app sulla rete interna.

Gli accessi ai siti dei venditori sono un'altra storia ma in realtà non li menzioni. Non perderei tempo a mantenere un vault per password a livello aziendale a meno che non dovessi assolutamente farlo; è troppo facile imbattersi in problemi con informazioni riservate che vengono memorizzate nel posto sbagliato o idioti di basso livello dimenticando la password del vault della password (o peggio, scrivendo su una nota adesiva e collegandola al monitor). Anche se le informazioni non sembrano così preziose, potrei sempre fidarmi solo dei professionisti IT competenti. Usiamo KeePass dove lavoro ma il database si trova in una posizione riservata (solo amministratore).

Se tutti hanno la propria password privata sicura, ciò mitiga un sacco di danni (anche molta utilità); i vault della password condivisi violano il non disconoscimento e cioè non una situazione in cui vuoi essere presente quando c'è un grave disastro e gli auditor arrivano a-sniffin '.

    
risposta data 16.08.2011 - 14:18
fonte
3

Potresti voler esaminare un prodotto sicuro per la sicurezza di un gruppo, usiamo qualcosa chiamato SecretServer solo per questo genere di cose . Hanno anche una versione online se non vuoi ospitarla da solo.

    
risposta data 16.08.2011 - 14:10
fonte
2

Personalmente preferisco la soluzione non bloccabile, scrivere le password su un po 'di carta e metterle in un posto sicuro quando non sono in uso. (come la cassastrong dell'azienda).

    
risposta data 16.08.2011 - 14:26
fonte
1

Supponendo di avere una sorta di dominio di rete locale, configurare utenti e gruppi per ogni persona della società per quel dominio. Questo sarà il login principale per ogni persona. Su alcune unità di rete condivise, crea cartelle per ciascun gruppo e limita l'accesso ad esse per gruppi e individui. In queste cartelle, puoi memorizzare gli elenchi di password e renderli accessibili solo alle persone che si trovano in un determinato gruppo o che dovrebbero avere accesso come individuo.

In alternativa, se il sistema di controllo del codice sorgente lo supporta, disporre i documenti della password sotto il controllo del codice sorgente e applicare lo stesso schema di utenti e gruppi alle posizioni del repository. Quindi chiunque appartenga a un determinato gruppo può accedere a tutte le password di cui ha bisogno.

Puoi anche provare a utilizzare tecnologie come LDAP o acquistare una soluzione software per la tua azienda, ci sono molti su il mercato. Per esempio, una rapida ricerca su google ha trovato questo .

    
risposta data 16.08.2011 - 14:06
fonte
0

Scrivi un'app che memorizza le password.

Ogni utente dovrebbe essere in grado di creare una combinazione di login / password e condividerlo con qualsiasi altro utente. Nice-to-have sarebbe funzionalità come i gruppi di utenti in modo da poter condividere con altri amministratori, ecc.

Se sembra troppo lavoro, compra un prodotto.

    
risposta data 16.08.2011 - 14:17
fonte

Leggi altre domande sui tag