Come posso gestire al meglio le password di root per molti server?

6

Diciamo che ho due rack con circa 40 server nix al loro interno. Non voglio impostare tutte le password dell'utente root ugualmente? In caso contrario, come gestisci e tieni il passo con tutte le password?

Un server LDAP è un'opzione valida da utilizzare con i login di root?

    
posta DiverseAndRemote.com 26.08.2013 - 18:27
fonte

7 risposte

5

Ecco alcune opzioni, ciascuna con i propri aspetti di sicurezza e insicurezza:

  • Utilizza uno strumento come KeePass o LastPass (entrambi sono piuttosto buoni)
  • Utilizza esclusivamente chiavi SSH (rimuovi completamente la password di root e disabilita l'autenticazione della password)
  • Utilizza un pattern di password non reversibile, ad esempio SHA1 (hostip + secret + some_iterator)

Di quelle opzioni, mi piacciono di più le chiavi SSH se sei in un ambiente in cui ciò ha senso. Perché onestamente, perché avere le password di root se non è necessario?

Il mio prossimo preferito è keepass e lastpass. Le password casuali sono meglio delle password non casuali

L'opzione del modello di password è categoricamente meno sicura delle altre opzioni, ma sicuramente migliore dell'utilizzo di password con un pattern facilmente distinguibile.

    
risposta data 26.08.2013 - 21:01
fonte
4

Solo per aggiungere ad altre risposte una distinzione importante qui è quante persone hanno bisogno di accedere a queste password. Se è solo uno (te stesso), allora un gestore di password è probabilmente la soluzione migliore.

Tuttavia, nel caso in cui più persone si avvalgono di account generici privilegiati (come l'account root in * nix) diventa importante avere cose come il tracciamento di chi ha accesso a cosa e quando e anche per consentire l'invio di password temporaneamente e poi cambiato facilmente.

Per quelle soluzioni come CyberArk (che @ mark-c-wallace menzionata nei commenti) sono una buona idea.

    
risposta data 26.08.2013 - 21:34
fonte
3

I don't want to set all of the root user passwords all the same do I?

no, non :) e si desidera disabilitare anche root-ssh-login e utilizzare un admin-login con diritti sudo per le attività spesso.use tramite ssh e un file di chiavi protetto da password.

con un rack di 40 server dovresti controllare uno strumento di gestione come puppet che crea tutti gli utenti necessari, accessi, gestione delle chiavi ssh, configurazioni, ecc.

If not how do you manage and keep up with all of the passwords?

usa password complesse e cose come keepass o il passaporto menzionato. non utilizzare le password di sicurezza online.

quando hai abilitato ssh + keys, avrai bisogno di password non così spesso, tranne per il tuo ssh-keyfile e alcuni root-tasks, ma hai il tuo pw-manager aperto e basta c & p le password per entrare console-app. se usi linux inserendo una password in un terminale hai solo 3 click; abbastanza comodo per me.

Is an LDAP server a viable option to use with root logins?

non consentirei i login di root tranne che da una console locale. ldap è bello per gli account, ma avrei ancora 1 account locale per l'accesso se ldap fallisce o non è altrimenti disponibile. e impostare tramite pam'n'stuff è 8 era almeno 3 anni fa) grande PITA

    
risposta data 26.08.2013 - 20:53
fonte
2

Ci sono un certo numero di gestori di password là fuori che sono progettati solo per lo scopo. Io uso solo Keychain che viene fornito con OSx, ma ho anche sentito cose positive su LastPass .

Ecco un link che supera un numero di gestori di password popolari .

    
risposta data 26.08.2013 - 18:32
fonte
1

Espandendo una risposta da tylerl ho il seguente:

  1. disabilita la password di root - non è richiesta la password
  2. disabilita il login di root da ssh
  3. usa LDAP per gestire gli altri account utente
  4. aggiungi utenti al gruppo sudoers, se necessario.

Il mio pensiero ora è dato che i miei server sono bloccati in una gabbia e l'unico modo per accedere all'account root è sbloccare la gabbia e usare kvm non importa se tutte le password di root sono vuote o semplicemente impostate su stessa cosa

    
risposta data 28.08.2013 - 17:27
fonte
0

È possibile utilizzare un sistema di gestione aziendale, ad es. Puppet per la gestione delle password . Mantieni una copia locale ma sarebbe troppo complessa. È molto più facile usare sshkeys e Puppet se me lo chiedi. Se l'obiettivo è la possibilità di accedere a LOG IN, è semplice come configurare le regole sul computer locale per SOLO FIDARTI IL PROPRIO NETBLOCK , mentre consente la gestione di OOB (fuori banda) a UNO, e quindi andando da lì. Ciò consente solo un punto di ingresso rispetto a più punti.

Ad esempio, supponi di parlare di dire un / 25 nel tuo rack. NESSUNO dal mondo esterno ha bisogno di accedere a questo, tranne dire te stesso / admin. È possibile installare regole su TUTTE le macchine per bloccare tutte le connessioni ai servizi che nessuno al di fuori del mondo dovrebbe accedere (RDP, SSH, telnet, qualsiasi cosa si voglia bloccare), avere un server utilizzato come proxy dedicato per connettersi agli altri. Quel server dovrebbe essere protetto ESTREMAMENTE bene come conterrebbe sshkeys. Ma anche quello può essere bloccato, con una scheda Ethernet da 10 $ per la gestione OOB.

Ci sono molti modi per proteggere e gestire, ma tutto dipende da quanto tempo e denaro vuoi investire facendo cose.

    
risposta data 26.08.2013 - 21:49
fonte
-1

Usa chiavi SSH. C'è semplicemente un'alternativa, che è la ragione per cui non troverai altre soluzioni usate nei datacenter.

Crea chiave:

ssh-keygen -t rsa -b 4096

Copia la chiave sul server:

ssh-copy-id <user>@<servername-or-ip>

Completa e proteggi il server:

ssh nella macchina e modifica /etc/ssh/sshd_config in modo che PermitRootLogin sia impostato su without-password anziché yes .

Se altri hanno bisogno di un accesso ssh basato su password, dagli un secondo account per connettersi e poi usalo sudo.

    
risposta data 12.08.2015 - 03:38
fonte

Leggi altre domande sui tag