Sistema di gestione password per più amministratori di sistema?

16

Sono interessato alle migliori pratiche e ai potenziali progetti open source che consentirebbero alla mia organizzazione di archiviare in modo sicuro più password e consentire a più amministratori di accedervi. Sono interessato a qualcosa che consentirebbe a ciascun amministratore di avere il proprio login / chiave rispetto al tipico foglio di calcolo Excel protetto da password. ;)

Preferibile sarebbe un'applicazione basata sul web che posso eseguire su SSL.

Ne ho bisogno per funzionare in un ambiente Mac / Linux - nessuna app di Windows, per favore.

Grazie!

linux  password 
Aaron Brown
fonte
3
dupe: vedi serverfault.com/questions/10285/… e altri ..
Toto
3
Ho dimenticato di dire che ho bisogno di una soluzione che funzionerà sotto Linux. Nessuna app di Windows, per favore :)
Aaron Brown,
Anch'io ho quel problema, abbiamo un paio di sistemi che dobbiamo usare che sono dei nostri fornitori, in questo momento stiamo usando un file crittografato gpg, ma ciò significa che ogni amministratore ha accesso a tutte le password - non va bene. Preferirei qualcosa che mi permetta di definire elenchi di accesso per siti diversi (password) a persone diverse nel nostro team, sia che si tratti di una CLI, di un desktop o di uno strumento web. La gestione delle password per le app di terze parti è qualcosa che ha davvero bisogno di elaborazione. Abbi cura di creare una voce wiki comune, forse possiamo elaborare i requisiti per farlo in un modo migliore
serverhorror
Mi sembra che non ci sia davvero una buona soluzione là fuori per gestire l'autenticazione di più amministratori per accedere a un archivio comune di password. Questo tipo di mi sconvolge. Forse dovrò solo scriverne uno.
Aaron Brown,
1
Esattamente, quando si hanno più amministratori di sistema, deve esserci un modo per controllare chi ha accesso a cosa e rimuovere il loro accesso senza cambiare ogni chiave / password. È anche per il controllo - chi ha avuto accesso a quale password e quando.
Aaron Brown,

Risposte:

3

Usiamo questo: http://sourceforge.net/projects/phppassmanager/ (un po 'modificato / sintonizzato)

È installato su un server Web HTTPS con autenticazione Active Directory per limitare il recupero della password al nostro team. Ogni membro del team conosce una password principale utilizzata per crittografare tutte le password memorizzate in phppassmanager. Lo usano quando vogliono aggiungere / modificare / leggere una password. Le password sono memorizzate crittografate in un database mysql.

Potenzialmente hanno accesso a tutte le password ma ogni decodifica della password viene registrata e i registri vengono mostrati a tutto il team sulla pagina principale. Questo sistema è auto-monitorato e autogestito.

2

Uso KeePass e ne sono molto contento. È un gestore di password opensource facile da usare.

Paolo
fonte
2
È Windows e consente solo un singolo accesso. Ho bisogno di una soluzione di accesso multiplo in modo che ogni amministratore di sistema possa accedere separatamente, che è l'unico modo gestibile e sicuro per gestirlo. Sono scioccato dal fatto che non ci siano tonnellate di prodotti là fuori che lo fanno.
Aaron Brown,
1
Oh, sbaglio - KeePass è stato portato su altre piattaforme
Aaron Brown il
sì, KeePass è stato sicuramente portato su altre piattaforme.
Paul,
0

Cosa stai proteggendo esattamente con questo sistema? Sistemi che controlli o sistemi gestiti da terze parti?

Per l'autenticazione interna, sistemi come Kerberos, LDAP o anche solo sudo e PKI possono gestirlo.

Per l'autenticazione esterna, diciamo a un sito Web di supporto software, sei in gran parte ostacolato dal sistema che implementano. Strumenti come KeePass (2.0 kinda funziona con mono) o PasswordGorilla possono memorizzare le tue password. Non credo che nessuno dei due supporti alcuna nozione di più password di decrittazione separate; Non sono sicuro di come funzioni matematicamente.

jldugger
fonte
LDAP e Kerberos sono sistemi di autenticazione, non sistemi di gestione delle password. Ho bisogno di un modo per archiviare le password di root, le password del router, le password di LDAP Manager - qualsiasi degli 8 miliardi di password di cui un amministratore di sistema ha bisogno per destreggiarsi.
Aaron Brown,
Sì, sì, sono sistemi di autenticazione. Li usi per implementare il Single Sign On senza il foglio di calcolo Excel hokey.
jldugger,
Non sono sicuro che tu capisca. Non tutto può essere collegato a un singolo server LDAP o kerberos, né dovrebbe esserlo. Le password di root del server, ad esempio, non devono mai essere archiviate in LDAP, né le password del router devono abilitare.
Aaron Brown,
Fallo nel modo giusto e non hai bisogno di uno strumento per semplificare l'accesso a tali password. Sì, se la rete non funziona, è probabile che i tuoi sistemi necessitino di autenticazione interna. Ma nel caso dei server, perché non usare solo sudo e PKI? Nessun account root, controllo chiaro e non dipendente dalla rete.
jldugger,
Noi facciamo uso di LDAP e sudo con un modulo PAM dove possiamo. Ci sono ancora una dozzina di altri account da gestire. Inoltre, è necessario disporre della documentazione delle password dell'account di root e non tutto può essere collegato a un sistema LDAP. Inoltre ci sono account che devono essere presenti nel caso in cui LDAP non sia disponibile e dobbiamo entrare nei sistemi. Apprezzo che pensi di avere un modo migliore, ma già utilizziamo l'autenticazione centralizzata laddove sia pratica e possibile. Esistono ancora più amministratori di sistema che devono poter accedere alle password di tanto in tanto.
Aaron Brown,
0

Per quello che ho letto finora, qualsiasi sistema wiki con backend di database (anche con backend di file store, ma preferirei db) dovrebbe risolvere il tuo problema. Impostare le restrizioni appropriate per gli account utente e solo le persone di cui ti fidi (amministratori) saranno in grado di leggere / modificare gli elenchi di password (in un semplice documento HTML :)).

Mettilo dietro il server abilitato SSL e limita l'accesso al database.

soleggiato
fonte
1
Ciò andrebbe benissimo se esistessero una solida pista di controllo e un meccanismo di segnalazione. quando qualcuno lascia l'organizzazione voglio eseguire un rapporto che mi mostri tutte le password che devono essere cambiate. Qualcosa di simile a un wiki protetto da SSL è una buona idea, ma deve avere un po 'di uno schema specifico per password, a mio avviso, in modo che possa facilmente facilitare la segnalazione.
Evan Anderson,
1
@Evan, forse dovresti aggiornare la tua domanda per includere questo requisito.
Zoredache,
1
Evan non è stato colui che ha posto la domanda originale ...
Kamil Kisiel,
0

PowerBroker è un prodotto del fornitore progettato specificamente per controllare / controllare l'accesso agli account condivisi; tuttavia, esiste un costo della licenza per host significativo.

Murali Suriar
fonte
0

Ho lavorato in un'azienda molto attenta alla sicurezza e nel mio team di 5 abbiamo usato KeePass , perché la crittografia è forte, è multipiattaforma e supporta l'importazione di più database nel tuo. Lo abbiamo archiviato su un sistema accessibile solo attraverso la rete interna tramite accessi SSH che richiedevano l'autenticazione con chiave (nessuna password, grazie!).

jtimberman
fonte
Le chiavi sono crittografate?
jldugger,
La chiave pubblica era l'unica cosa inviata ai sistemi. Le chiavi private sono rimaste sulle postazioni di lavoro individuali.
jtimberman,
0

Usiamo il keypass È un software piuttosto interessante, puoi organizzare le password per categoria. Tuttavia, non sono sicuro se è possibile avere diversi livelli di utenti per accedere.

vmdaemon
fonte
0

Non sono esattamente sicuro che sia ciò di cui hai bisogno, ma questo funziona per noi: conserviamo nel nostro SVN un file di testo crittografato con gpg con tutte le credenziali, crittografato con una chiave comune che condividiamo tutti. I principali vantaggi di questo approccio invece di keepassx o strumenti simili sono: 1) uno può mettere informazioni in formato libero lì e 2) gpg --decrypt può essere inviato a una pipe e utilizzato in un terminale.

Certo, questo funziona solo per un gruppo di ~ 10 persone, ma con un po 'di delega può essere ingrandito un po'. Inoltre, in realtà abbiamo due chiavi e due file crittografati per diversi livelli di accesso, ma questo non cambia molto.

Oh, e tendiamo a stare lontano dalla gestione delle password il più possibile (principalmente con chiavi SSH personali).

rpetre
fonte
0

Sto cercando la stessa identica cosa, e ho trovato 2 che potrebbero soddisfare le tue esigenze.

Web-KeePass - Sembra che farebbe ciò che è necessario, ma sto ancora cercando di capire tutte le opzioni.

corporatevault - È molto semplice e nelle fasi iniziali. L'interfaccia non è finita, ma l'ho trovato abbastanza facile da capire.

Joseph
fonte
0

Penso che sysPass sia una buona scelta. Offre:

  1. Crittografia password con AES-256 CBC.
  2. Gestione utenti e gruppi
  3. Autenticazione MySQL, OpenLDAP e Active Directory.
  4. Multilanguag
  5. e molto di più
CDieck
fonte
0

Server segreto ticotico.

Lo usiamo da molti anni nella mia azienda. Ha molte funzioni greate come la modifica automatica di password, e-mail inviate quando si accede a determinate password, ecc.

Forniscono inoltre aggiornamenti regolari e aggiungono funzionalità.

https://thycotic.com/products/secret-server/

adivis12
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.