Sistema de Gerenciamento de Senhas para vários SysAdmins?

16

Estou interessado em práticas recomendadas e em possíveis projetos de código aberto que permitiriam à minha organização armazenar com segurança várias senhas e permitir que vários administradores as acessassem. Estou interessado em algo que permita que cada administrador tenha seu próprio login / chave em comparação com a planilha do Excel protegida por senha típica. ;)

Preferível seria um aplicativo baseado na Web que eu possa executar sobre SSL.

Eu preciso que ele seja executado em um ambiente Mac / Linux - sem aplicativos do Windows, por favor.

Obrigado!

linux password Aaron Brown
fonte
3
dupe: ver serverfault.com/questions/10285/... e outros ..
Toto
3
Esqueci de mencionar que preciso de uma solução que será executada no Linux. Não Windows aplicativos, por favor :)
Aaron Brown
Eu também tenho esse problema, temos vários sistemas que precisamos usar que são de nossos fornecedores, agora estamos usando um arquivo criptografado por gpg, mas isso significa que todo administrador tem acesso a todas as senhas - nada bom. Eu gostaria de algo que me permita definir listas de acesso para sites diferentes (senhas) para pessoas diferentes em nossa equipe, seja uma CLI, desktop ou ferramenta da web. O gerenciamento de senhas para aplicativos de terceiros é algo que realmente precisa de elaboração. Cuidados para criar uma entrada de wiki COMUNITÁRIA talvez possamos trabalhar os requisitos para isso de uma maneira melhor
serverhorror
Parece-me que não existe uma solução realmente boa para lidar com a autenticação de vários administradores para acessar um armazenamento comum de senhas. Isso meio que me choca. Talvez eu tenha que escrever um.
23415 Aaron Brown
11
Exatamente, quando você tem vários administradores de sistemas, é preciso haver uma maneira de controlar quem tem acesso ao quê e remover o acesso sem alterar todas as chaves / senhas. É também para auditoria - quem acessou qual senha e quando.
Aaron Brown

Respostas:

3

Usamos isso: http://sourceforge.net/projects/phppassmanager/ (um pouco modificado / ajustado)

Ele é instalado em um servidor Web HTTPS com autenticação do Active Directory para restringir a recuperação de senha à nossa equipe. Cada membro da equipe conhece uma senha mestra usada para criptografar todas as senhas armazenadas no phppassmanager. Eles o usam quando desejam adicionar / modificar / ler uma senha. As senhas são armazenadas criptografadas em um banco de dados mysql.

Potencialmente, eles têm acesso a todas as senhas, mas cada descriptografia de senha é registrada em log e os logs são mostrados para toda a equipe na página principal. Este sistema é auto-monitorado e auto-gerenciado.


fonte
2

Eu uso o KeePass e estou muito feliz com isso. É um código-fonte fácil de usar, gerenciador de senhas.

Paulo
fonte
2
É janelas e permite apenas um único login. Eu preciso de uma solução de login múltiplo para que cada administrador de sistema possa fazer login separadamente, que é a única maneira gerenciável e segura de lidar com isso. Estou chocado por não haver toneladas de produtos por aí que fazem isso.
Aaron Brown
11
Oh, eu estou errado - KeePass foi portado para outras plataformas
Aaron Brown
Sim, o KeePass foi definitivamente portado para outras plataformas.
Paul
0

O que exatamente você está protegendo com este sistema? Sistemas que você controla ou sistemas executados por terceiros?

Para autenticação interna, sistemas como Kerberos, LDAP ou mesmo apenas sudo e PKI podem lidar com isso.

Para autenticação externa, digamos que em um site de suporte de software, você esteja em grande parte prejudicado por qualquer sistema que eles implementem. Ferramentas como o KeePass (o 2.0 meio que funciona com mono) ou o PasswordGorilla podem armazenar suas senhas. Acho que nenhum deles suporta qualquer noção de várias senhas de descriptografia separadas; Não tenho certeza de como isso poderia funcionar matematicamente.

jldugger
fonte
LDAP e Kerberos são sistemas de autenticação, não sistemas de gerenciamento de senhas. Preciso de uma maneira de armazenar senhas de root, senhas de roteadores e senhas do LDAP Manager - qualquer uma das 8 bilhões de senhas que um administrador de sistemas precisa manipular.
Aaron Brown
Sim, sim, eles são sistemas de autenticação. Você os utiliza para implementar o Logon único sem a planilha hokey excel.
21139 jldugger # 1:
Não sei se você entende. Nem tudo pode ser conectado a um único servidor LDAP ou kerberos, nem deveria. As senhas de raiz do servidor, por exemplo, nunca devem ser armazenadas no LDAP, nem o roteador deve habilitar senhas.
Aaron Brown
Faça o certo e você não precisa de uma ferramenta para otimizar o acesso a essas senhas. Sim, se a rede estiver inoperante, é provável que seus sistemas precisem de autenticação interna. Mas no caso de servidores, por que não usar apenas sudo e PKI? Nenhuma conta raiz, auditoria clara e não depende da rede.
jldugger
Nós fazer uso LDAP e sudo com um módulo PAM onde podemos. Ainda há uma dúzia de outras contas para lidar. Além disso, é necessário que haja documentação das senhas da conta raiz e nem tudo pode ser conectado a um sistema LDAP. Além disso, existem contas que precisam estar disponíveis caso o LDAP não esteja disponível e precisamos entrar nos sistemas. Aprecio que você acha que tem uma maneira melhor, mas já usamos autenticação centralizada onde é possível e prático. Ainda existem vários administradores de sistema que precisam acessar senhas ocasionalmente.
23415 Aaron Brown
0

Pelo que li até agora, qualquer sistema wiki com back-end de banco de dados (mesmo com back-end de armazenamento de arquivos, mas eu preferiria o db) deve resolver seu problema. Definindo restrições apropriadas nas contas de usuário, e somente as pessoas em quem você confia (administradores) poderão ler / modificar as listas de palavras-passe (em um documento html simples :)).

Coloque-o atrás do servidor habilitado para SSL e restrinja o acesso ao banco de dados.

Ensolarado
fonte
11
Isso seria bom se houvesse uma trilha de auditoria robusta e um mecanismo de relatório. quando alguém sai da organização, desejo executar um relatório que mostre todas as senhas que precisam ser alteradas. Algo como um wiki protegido por SSL é uma boa idéia, mas ele precisa ter um esquema específico de senha, na minha opinião, para facilitar os relatórios.
Evan Anderson
11
@Evan, talvez você deva atualizar sua pergunta para incluir esse requisito.
Zoredache
11
Evan não foi o único a pedir a pergunta original ...
Kamil Kisiel
0

O PowerBroker é um produto de fornecedor projetado especificamente para controlar / auditar o acesso a contas compartilhadas; no entanto, há um custo significativo de licença por host.

Murali Suriar
fonte
0

Eu trabalhei em uma empresa muito preocupada com a segurança e, na minha equipe de 5 pessoas, usamos o KeePass , porque a criptografia é forte, é multiplataforma e suporta a importação de vários bancos de dados para você. Nós o armazenamos em um sistema que só era acessível através da rede interna através de logins SSH que exigiam autenticação de chave (sem senhas, obrigado!).

jtimberman
fonte
As chaves estão criptografadas?
jldugger
A chave pública foi a única coisa enviada aos sistemas. As chaves privadas permaneceram nas estações de trabalho dos indivíduos.
jtimberman
0

Usamos o keypass É um software bem legal, você pode organizar as senhas por categoria. No entanto, não tenho certeza se você pode ter diferentes níveis de usuários para fazer logon.

vmdaemon
fonte
0

Não sei exatamente o que você precisa, mas isso funciona para nós: mantemos em nosso SVN um arquivo de texto criptografado com gpg com todas as credenciais, criptografado com uma chave comum que todos compartilhamos. As principais vantagens dessa abordagem, em vez de keepassx ou ferramentas similares, são: 1) pode-se colocar informações de forma livre e 2) gpg --decrypt pode ser enviado para um tubo e usado em um terminal.

Claro, isso só funciona para um grupo de ~ 10 pessoas, mas com um pouco de delegação pode ser ampliado um pouco. Além disso, na verdade, temos duas chaves e dois arquivos criptografados para diferentes níveis de acesso, mas isso não muda muito.

Ah, e tendemos a ficar longe de lidar com senhas o máximo possível (principalmente com chaves SSH pessoais).

rpetre
fonte
0

Estou procurando exatamente a mesma coisa e encontrei 2 que podem atender às suas necessidades.

Web-KeePass - Parece que isso faria o que é necessário, mas ainda estou tentando descobrir todas as opções.

corporatevault - É muito básico e nos estágios iniciais. A interface não está concluída, mas achei muito fácil descobrir.

Joseph
fonte
0

Eu acho que o sysPass é uma boa escolha. Oferece:

  1. Criptografia de senha com AES-256 CBC.
  2. Gerenciamento de usuários e grupos
  3. Autenticação MySQL, OpenLDAP e Active Directory.
  4. Multilanguag
  5. e muito mais
CDieck
fonte
0

Servidor Secreto Thycotic.

Temos usado isso por muitos anos na minha empresa. Possui muitos recursos de greate, como alterar automaticamente senhas, e-mails enviados quando determinadas senhas são acessadas, etc.

Eles também fornecem atualizações regulares e adicionam recursos.

https://thycotic.com/products/secret-server/

adivis12
fonte