Sistem Manajemen Kata Sandi untuk beberapa SysAdmins?

16

Saya tertarik pada praktik terbaik dan proyek sumber terbuka potensial yang memungkinkan organisasi saya menyimpan banyak kata sandi dengan aman dan memungkinkan beberapa administrator mengaksesnya. Saya tertarik pada sesuatu yang memungkinkan setiap administrator memiliki login / kunci sendiri versus spreadsheet Excel yang dilindungi kata sandi. ;)

Lebih disukai adalah aplikasi berbasis web yang dapat saya jalankan di atas SSL.

Saya perlu menjalankannya di lingkungan Mac / Linux - tolong jangan aplikasi Windows.

Terima kasih!

linux password Aaron Brown
sumber
3
dupe: lihat serverfault.com/questions/10285/… dan lainnya ..
Toto
3
Saya lupa menyebutkan bahwa saya membutuhkan solusi yang akan berjalan di Linux. Tidak ada aplikasi Windows, tolong :)
Aaron Brown
Saya juga memiliki masalah itu, kami memiliki beberapa sistem yang perlu kami gunakan yang berasal dari vendor kami, saat ini kami menggunakan file terenkripsi gpg, tetapi itu berarti bahwa setiap admin memiliki akses ke setiap kata sandi - tidak baik. Saya lebih suka sesuatu yang memungkinkan saya menentukan daftar akses untuk situs yang berbeda (kata sandi) untuk orang yang berbeda di tim kami, baik itu CLI, desktop atau alat web. Manajemen kata sandi untuk aplikasi pihak ke-3 adalah sesuatu yang sangat membutuhkan elaborasi. Peduli untuk membuat entri wiki bersama mungkin kita bisa mengetahui persyaratan untuk itu dengan cara yang lebih baik
serverhorror
Bagi saya sepertinya tidak ada solusi yang sangat baik di luar sana untuk menangani otentikasi beberapa administrator untuk mengakses penyimpanan kata sandi yang umum. Jenis itu mengejutkan saya. Mungkin saya hanya perlu menulis satu.
Aaron Brown
1
Tepatnya, ketika Anda memiliki beberapa administrator sistem, perlu ada cara untuk mengontrol siapa yang memiliki akses ke apa serta menghapus akses mereka tanpa mengubah setiap kunci / kata sandi. Ini juga untuk audit - siapa yang mengakses kata sandi dan kapan.
Aaron Brown

Jawaban:

3

Kami menggunakan ini: http://sourceforge.net/projects/phppassmanager/ (sedikit dimodifikasi / disetel)

Itu diinstal pada server web HTTPS dengan otentikasi Direktori Aktif untuk membatasi pengambilan kata sandi ke tim kami. Setiap anggota tim tahu kata sandi utama yang digunakan untuk mengenkripsi semua kata sandi yang disimpan di phppassmanager. Mereka menggunakannya ketika mereka ingin menambah / memodifikasi / membaca kata sandi. Kata sandi disimpan dienkripsi dalam database mysql.

Mereka berpotensi memiliki akses ke semua kata sandi tetapi setiap dekripsi kata sandi dicatat, dan log ditampilkan ke seluruh tim di halaman utama. Sistem ini dipantau sendiri dan dikelola sendiri.


sumber
2

Saya menggunakan KeePass dan saya sangat senang dengannya. Ini adalah opensource yang mudah digunakan pengelola kata sandi.

Paul
sumber
2
Ini windows dan hanya memungkinkan satu login. Saya memerlukan solusi multiple-login sehingga setiap sysadmin dapat login secara terpisah, yang merupakan satu-satunya cara yang aman dan terkendali untuk menangani ini. Saya terkejut bahwa tidak ada banyak produk di luar sana yang melakukan ini.
Aaron Brown
1
Oh, saya salah - KeePass telah porting ke platform lain
Aaron Brown
ya, KeePass telah pasti dipindahkan ke platform lain.
Paul
0

Apa sebenarnya yang Anda lindungi dengan sistem ini? Sistem yang Anda kontrol, atau sistem yang dijalankan oleh pihak ketiga?

Untuk otentikasi internal, sistem seperti Kerberos, LDAP atau bahkan hanya sudo dan PKI dapat menangani ini.

Untuk otentikasi eksternal, katakanlah ke situs web dukungan perangkat lunak, Anda sebagian besar dikuasai oleh sistem apa pun yang mereka terapkan. Alat seperti KeePass (2.0 agak berfungsi dengan mono) atau PasswordGorilla dapat menyimpan kata sandi Anda. Saya tidak berpikir salah satu dari mereka mendukung gagasan beberapa kata sandi dekripsi terpisah; Saya tidak yakin bagaimana itu bisa bekerja secara matematis.

jldugger
sumber
LDAP dan kerberos adalah sistem otentikasi, bukan sistem manajemen kata sandi. Saya perlu cara untuk menyimpan kata sandi root, kata sandi router, kata sandi LDAP Manager - salah satu dari 8 miliar kata sandi yang perlu disulap oleh admin sistem.
Aaron Brown
Ya, ya, mereka adalah sistem otentikasi. Anda menggunakannya untuk menerapkan Single Sign On tanpa spreadsheet tipu excel.
jldugger
Saya tidak yakin Anda mengerti. Tidak semuanya dapat dihubungkan ke satu LDAP atau server kerberos, begitu pula seharusnya. Kata sandi root server, misalnya, tidak boleh disimpan dalam LDAP, dan router tidak boleh mengaktifkan kata sandi.
Aaron Brown
Lakukan dengan benar, dan Anda tidak perlu alat untuk merampingkan akses ke kata sandi tersebut. Ya, jika jaringan mati, sistem Anda kemungkinan membutuhkan otentikasi internal. Tetapi dalam hal server, mengapa tidak hanya menggunakan sudo dan PKI? Tidak ada akun root, hapus audit, dan tidak tergantung jaringan.
jldugger
Kami melakukan penggunaan LDAP dan sudo dengan modul PAM di mana kita bisa. Masih ada selusin akun lain untuk ditangani. Selain itu, perlu ada dokumentasi kata sandi akun root, dan tidak semuanya dapat dihubungkan ke sistem LDAP. Juga ada akun yang perlu ada jika LDAP tidak tersedia dan kami harus masuk ke sistem. Saya menghargai bahwa Anda pikir Anda memiliki cara yang lebih baik, tetapi kami sudah menggunakan otentikasi terpusat yang praktis dan memungkinkan. Masih ada beberapa sysadmin yang perlu dapat mengakses kata sandi sesekali.
Aaron Brown
0

Sejauh yang saya baca sejauh ini, sistem wiki apa pun dengan backend basis data (bahkan dengan backend penyimpanan file, tapi saya lebih suka db) harus menyelesaikan masalah Anda. Menetapkan batasan yang tepat pada akun pengguna, dan hanya orang yang Anda percayai (admin) yang dapat membaca / memodifikasi daftar kata sandi (dalam dokumen html polos :)).

Letakkan di belakang server berkemampuan SSL, dan batasi akses ke database.

Cerah
sumber
1
Ini akan baik-baik saja jika ada jejak audit yang kuat dan mekanisme pelaporan. ketika seseorang meninggalkan organisasi saya ingin menjalankan laporan yang menunjukkan kepada saya semua kata sandi yang harus diubah. Sesuatu seperti wiki yang dilindungi SSL adalah ide yang bagus, tetapi perlu memiliki skema khusus kata sandi, menurut saya, sehingga dapat dengan mudah memfasilitasi pelaporan.
Evan Anderson
1
@Van, mungkin Anda harus memperbarui pertanyaan Anda untuk memasukkan persyaratan ini.
Zoredache
1
Evan bukan orang yang mengajukan pertanyaan asli ...
Kamil Kisiel
0

PowerBroker adalah produk vendor yang dirancang khusus untuk mengendalikan / mengaudit akses ke akun bersama; namun, ada biaya lisensi per-host yang signifikan.

Murali Suriar
sumber
0

Saya bekerja di perusahaan yang sangat memperhatikan keamanan, dan di tim saya yang terdiri dari 5 orang, kami menggunakan KeePass , karena enkripsi yang kuat, itu lintas platform dan mendukung pengimporan beberapa basis data ke dalam milik Anda. Kami menyimpannya di sistem yang hanya dapat diakses melalui jaringan internal melalui login SSH yang memerlukan otentikasi kunci (tanpa kata sandi, terima kasih!).

jtimberman
sumber
Apakah kunci dienkripsi?
jldugger
Kunci publik adalah satu-satunya yang didorong ke sistem. Kunci pribadi tetap ada di workstation individu.
jtimberman
0

Kami menggunakan keypass Ini adalah perangkat lunak yang cukup keren, Anda dapat mengatur kata sandi berdasarkan kategori. Namun, saya tidak yakin apakah Anda dapat memiliki level pengguna yang berbeda untuk masuk.

vmdaemon
sumber
0

Saya tidak yakin itu yang Anda butuhkan, tetapi ini berfungsi untuk kami: kami menyimpan dalam SVN file teks terenkripsi gpg dengan semua kredensial, dienkripsi dengan kunci umum yang kami bagikan bersama. Keuntungan utama dari pendekatan ini daripada keepassx atau alat serupa adalah: 1) orang dapat menaruh informasi bentuk bebas di sana dan 2) gpg --decrypt dapat dikirim ke pipa dan digunakan di terminal.

Tentu, ini hanya bekerja untuk sekelompok ~ 10 orang, tetapi dengan sedikit delegasi dapat ditingkatkan sedikit. Kami juga memiliki dua kunci dan dua file terenkripsi untuk tingkat akses yang berbeda, tetapi ini tidak banyak berubah.

Oh, dan kami cenderung menjauhi penanganan kata sandi sebanyak mungkin (terutama dengan kunci SSH pribadi).

rpetre
sumber
0

Saya mencari hal yang sama persis, dan saya menemukan 2 yang mungkin sesuai dengan kebutuhan Anda.

Web-KeePass - Sepertinya ini akan melakukan apa yang dibutuhkan, tapi saya masih mencoba mencari tahu semua opsi.

corporatevault - Ini sangat mendasar dan pada tahap awal. Antarmuka belum selesai, tetapi saya merasa cukup mudah untuk mencari tahu.

Yusuf
sumber
0

Saya pikir sysPass adalah pilihan yang bagus. Menawarkan:

  1. Enkripsi kata sandi dengan AES-256 CBC.
  2. Manajemen pengguna dan grup
  3. Otentikasi MySQL, OpenLDAP dan Active Directory.
  4. Multilanguag
  5. dan masih banyak lagi
CDieck
sumber
0

Server Rahasia Thycotic.

Kami telah menggunakan ini selama bertahun-tahun di perusahaan saya. Ini memiliki banyak fitur greate seperti mengubah kata sandi secara otomatis, email yang dikirim ketika kata sandi tertentu diakses, dll.

Mereka juga menyediakan pembaruan rutin dan menambahkan fitur.

https://thycotic.com/products/secret-server/

adivis12
sumber