Dove dovrebbero essere le credenziali del server di un negozio di gruppo [duplicato]

8

Immagina di lavorare in una squadra di circa 5 persone. Installiamo tutti i nuovi server su base mensile e dobbiamo trovare un modo migliore per archiviare e condividere le credenziali del server (posizione offline / webadress, accesso root, accesso db, ...) da qualche parte dove l'intero team può accedervi, leggere /Scrivi. Questa posizione non deve essere accessibile tramite Internet, ma è una possibilità se qualcuno può fornire un modo sicuro per farlo.

Al momento:

  • attualmente colui che ha configurato il server ha le credenziali: le ricorda (solitamente collegate a password standard molto pericolose) o le scrive in una email, le scambia tramite skype, le inserisce in un documento word locale, le scrive su un foglio di carta
  • ssh-keys sono già in uso, ma è appena successo che il servizio non era disponibile e avevamo bisogno del login di root, ma era difficile da trovare e questo non dovrebbe accadere di nuovo

Che cos'è una pratica sicura e ottimale per archiviare e condividere le credenziali in un team?

Solo carta? Condividi Samba con i documenti? Solo come e-mail? Una specie di database? Software di terze parti?

    
posta Preexo 09.10.2014 - 07:20
fonte

4 risposte

3

Il tuo problema è abbastanza comune e in genere definito PAM / PUM / PIM / PAM / Privileged Account / User / Identity Management.

Mantieni di sicuro è una soluzione utilizzata abbastanza spesso, ma dal punto di vista della sicurezza, della conformità e dell'audit non è la migliore. Dato che sei una squadra di cinque persone, è difficile dire se devi rispettare qualsiasi politica. Ma se è necessario, una soluzione commerciale sarebbe qualcosa da esaminare. Si rivolge non solo alla gestione delle password e alla condivisione delle password in un team, ma anche alla responsabilità individuale, al reporting e così via.

Quindi in realtà dipende dalle tue esigenze, da che parte andare. Dalla mia esperienza, posso dirvi che ci sono molti modi diversi di utilizzare in ambienti aziendali, a partire dalla carta in una posizione sicura, fino a file su condivisioni. Soprattutto per quanto riguarda i file su condivisioni, e-mail o altri dispositivi di archiviazione "online", ricorda sempre che potrebbe esserci qualche amministratore in grado di accedere a coloro a cui non è destinato.

HTH.

    
risposta data 09.10.2014 - 08:18
fonte
3

Stiamo usando un file di testo in chiaro crittografato gnupg, che è distribuito & versione di git. Ogni amministratore può decrittografarlo con

  1. una chiave comune nota (segreto condiviso - forse più rischio in caso di smantellamento) o
  2. ogni amministratore può decifrare con la propria chiave (credo che il rischio di perdite segrete sarà comparabile)

Git ti salverà in caso di operazioni di crittografia configurate in modo errato.

Per l'utilizzo su desktop posso solo suggerire strumenti per kubunutu:

  • L'elemento della lista kgpg è uno strumento piacevole in trybar con un piccolo editor integrato per la decrittografia, ad es. il file delle credenziali
  • Kleopatra può en- / decriptare gli appunti

Posso immaginare che ci siano strumenti simili per Windows. Puoi visitare il link per una prima panoramica

    
risposta data 09.10.2014 - 17:06
fonte
0

KeePass funziona bene con password relativamente statiche o per voci dinamiche. Vedi Password Vault - Enterprise per i dettagli.

Ho trovato anche un'opzione davvero utile (alternativa?) per gli account condivisi predefiniti come l'amministratore locale. Spingendo le copie delle tue password su una condivisione SMB o utilizzando SCP (con controllo per l'accesso e la crittografia in uso) funziona bene per una soluzione di homebrew.

Pianifica le modifiche giornaliere / orarie / etc, verifica l'accesso ai file di password e agli eventi di accesso e disponi di una cronologia accurata di chi ha effettuato l'accesso.

Is c'è più rischio nel cambiare la password dell'amministratore localmente rispetto a una posizione centralizzata?

    
risposta data 09.10.2014 - 21:24
fonte
0

LastPass o 1Password sembrano buone soluzioni come il loro online che sarà più facile da aggiornare rispetto a qualcosa offline come KeePass. Meglio per premium, quindi si configura un token con esso ma non sono sicuro se ciò funzionerebbe con la condivisione. I gestori di password offline dovrebbero essere sincronizzati tra il team mentre ognuno si aggiunge a esso e probabilmente alla fine porteranno agli stessi problemi.

Nel frattempo è meglio del tuo attuale processo; tuttavia questa non è una soluzione a lungo termine. Alla fine avrai bisogno di una soluzione a livello di organizzazione per ospitare e proteggere tali informazioni. Qualcosa che puoi controllare, in grado di soddisfare le esigenze della tua organizzazione. Ciò significa che dipende dalle risorse disponibili, che sto scommettendo sono troppo limitate per permettermi un sistema completamente aggiornato. Ciò ti lascia soluzioni economiche a breve termine. Ma penso che siamo tutti abituati.

    
risposta data 09.10.2014 - 21:24
fonte

Leggi altre domande sui tag