Diciamo che ho due rack con circa 40 server nix al loro interno. Non voglio impostare tutte le password dell'utente root ugualmente? In caso contrario, come gestisci e tieni il passo con tutte le password?
Un server LDAP è un'opzione valida da utilizzare con i login di root?
Ecco alcune opzioni, ciascuna con i propri aspetti di sicurezza e insicurezza:
Di quelle opzioni, mi piacciono di più le chiavi SSH se sei in un ambiente in cui ciò ha senso. Perché onestamente, perché avere le password di root se non è necessario?
Il mio prossimo preferito è keepass e lastpass. Le password casuali sono meglio delle password non casuali
L'opzione del modello di password è categoricamente meno sicura delle altre opzioni, ma sicuramente migliore dell'utilizzo di password con un pattern facilmente distinguibile.
Solo per aggiungere ad altre risposte una distinzione importante qui è quante persone hanno bisogno di accedere a queste password. Se è solo uno (te stesso), allora un gestore di password è probabilmente la soluzione migliore.
Tuttavia, nel caso in cui più persone si avvalgono di account generici privilegiati (come l'account root in * nix) diventa importante avere cose come il tracciamento di chi ha accesso a cosa e quando e anche per consentire l'invio di password temporaneamente e poi cambiato facilmente.
Per quelle soluzioni come CyberArk (che @ mark-c-wallace menzionata nei commenti) sono una buona idea.
I don't want to set all of the root user passwords all the same do I?
no, non :) e si desidera disabilitare anche root-ssh-login e utilizzare un admin-login con diritti sudo per le attività spesso.use tramite ssh e un file di chiavi protetto da password.
con un rack di 40 server dovresti controllare uno strumento di gestione come puppet che crea tutti gli utenti necessari, accessi, gestione delle chiavi ssh, configurazioni, ecc.
If not how do you manage and keep up with all of the passwords?
usa password complesse e cose come keepass o il passaporto menzionato. non utilizzare le password di sicurezza online.
quando hai abilitato ssh + keys, avrai bisogno di password non così spesso, tranne per il tuo ssh-keyfile e alcuni root-tasks, ma hai il tuo pw-manager aperto e basta c & p le password per entrare console-app. se usi linux inserendo una password in un terminale hai solo 3 click; abbastanza comodo per me.
Is an LDAP server a viable option to use with root logins?
non consentirei i login di root tranne che da una console locale. ldap è bello per gli account, ma avrei ancora 1 account locale per l'accesso se ldap fallisce o non è altrimenti disponibile. e impostare tramite pam'n'stuff è 8 era almeno 3 anni fa) grande PITA
Ci sono un certo numero di gestori di password là fuori che sono progettati solo per lo scopo. Io uso solo Keychain che viene fornito con OSx, ma ho anche sentito cose positive su LastPass .
Ecco un link che supera un numero di gestori di password popolari .
Espandendo una risposta da tylerl ho il seguente:
Il mio pensiero ora è dato che i miei server sono bloccati in una gabbia e l'unico modo per accedere all'account root è sbloccare la gabbia e usare kvm non importa se tutte le password di root sono vuote o semplicemente impostate su stessa cosa
È possibile utilizzare un sistema di gestione aziendale, ad es. Puppet per la gestione delle password . Mantieni una copia locale ma sarebbe troppo complessa. È molto più facile usare sshkeys e Puppet se me lo chiedi. Se l'obiettivo è la possibilità di accedere a LOG IN, è semplice come configurare le regole sul computer locale per SOLO FIDARTI IL PROPRIO NETBLOCK , mentre consente la gestione di OOB (fuori banda) a UNO, e quindi andando da lì. Ciò consente solo un punto di ingresso rispetto a più punti.
Ad esempio, supponi di parlare di dire un / 25 nel tuo rack. NESSUNO dal mondo esterno ha bisogno di accedere a questo, tranne dire te stesso / admin. È possibile installare regole su TUTTE le macchine per bloccare tutte le connessioni ai servizi che nessuno al di fuori del mondo dovrebbe accedere (RDP, SSH, telnet, qualsiasi cosa si voglia bloccare), avere un server utilizzato come proxy dedicato per connettersi agli altri. Quel server dovrebbe essere protetto ESTREMAMENTE bene come conterrebbe sshkeys. Ma anche quello può essere bloccato, con una scheda Ethernet da 10 $ per la gestione OOB.
Ci sono molti modi per proteggere e gestire, ma tutto dipende da quanto tempo e denaro vuoi investire facendo cose.
Usa chiavi SSH. C'è semplicemente un'alternativa, che è la ragione per cui non troverai altre soluzioni usate nei datacenter.
Crea chiave:
ssh-keygen -t rsa -b 4096
Copia la chiave sul server:
ssh-copy-id <user>@<servername-or-ip>
Completa e proteggi il server:
ssh nella macchina e modifica /etc/ssh/sshd_config in modo che PermitRootLogin sia impostato su without-password anziché yes .
Se altri hanno bisogno di un accesso ssh basato su password, dagli un secondo account per connettersi e poi usalo sudo.
Leggi altre domande sui tag authentication passwords ldap password-management