Come gestire le password del team?

Naviga le tue risposte
15

In che modo la maggior parte dei team gestisce la memorizzazione delle password, in particolare le modifiche richieste quando i membri del team lasciano?

Al momento, utilizziamo un file crittografato archiviato centralmente, ma il pensiero di cambiare centinaia di password quando i dipendenti chiave escono è un po 'opprimente.

    
posta user24751 13.04.2013 - 02:15
fonte

3 risposte

7

Usiamo un vault TrueCrypt con le nostre password condivise / hardcoded. Alcuni membri del team conservano una copia crittografata del file sul proprio telefono.

Utilizziamo AD per inviare le password degli amministratori locali ai nostri server Windows.

Usiamo puppet per modificare le password di root locali e rimuovere le chiavi ssh dei dipendenti dai nostri server Linux.

Utilizziamo gli strumenti Kiwi Cat per gestire il nostro hardware Cisco e utilizzarlo per reimpostare le password.

Questo lascia ancora meno di una dozzina di dispositivi "one-off" (UPS, PDU remote, stampanti, ecc.) che aggiorniamo manualmente.

Cambiamo le password ogni 6 mesi o immediatamente quando perdiamo un membro del team.

    
risposta data 13.04.2013 - 02:31
fonte
9

Un metodo che ho visto usato in aziende più grandi è prodotto come Cyber- Ark che essenzialmente prende il controllo delle password per le caselle e quindi ha un set-up in cui è possibile richiedere una password per un host specifico per un periodo di tempo. L'applicazione fornisce quindi la password e la modifica dopo che il periodo di tempo è scaduto. Un ulteriore vantaggio di questo approccio è che hai un registro di chi ha avuto accesso al server e quando.

In questo modo quando un membro del team lascia che non conoscono effettivamente nessuna delle password. Ovviamente è necessario combinare questo con strumenti di monitoraggio per impedire alle persone di aggiungere account o back-door non autorizzati, ma se hai abbastanza account per gestirli può essere un buon approccio.

    
risposta data 13.04.2013 - 08:27
fonte
1

Presso il mio dipartimento, l'identità e il controllo degli accessi sono centralizzati in IPA , che consente di:

  • molto facilmente aggiungere / rimuovere account basati su profili RBAC
  • definisce lo stato degli account (abilitato / disabilitato)
  • memorizza le chiavi ssh degli utenti (quindi nessuna chiave esiste nei server)
  • definisce i criteri per le password
  • implementa molto facilmente l'autenticazione a più fattori (kerberos + RSA + password)
  • diverse altre funzionalità di account e controllo non direttamente correlate alla tua domanda (sudo, HBAC, SELinux, gestione dei certificati, ...)

Quando un membro del team lascia, il suo account viene disabilitato in un primo passaggio e rimosso successivamente, attraverso i flussi di lavoro di gestione appropriati.

    
risposta data 13.04.2013 - 13:15
fonte

Leggi altre domande sui tag

Non è sicuro aprire la porta di MySQL su internet? Codice QR dannoso e attenuazione