¿Cómo administrar las contraseñas del equipo?

15

¿Cómo gestiona la mayoría de los equipos el almacenamiento de contraseñas, en particular los cambios necesarios cuando los miembros del equipo se van?

En este momento, usamos un archivo cifrado almacenado de manera central, pero la idea de cambiar las contraseñas cuando los empleados clave se van es un poco abrumadora.

    
pregunta user24751 13.04.2013 - 02:15
fuente

3 respuestas

7

Usamos una bóveda de truecrypt con nuestras contraseñas compartidas / codificadas. Algunos miembros del equipo mantienen una copia encriptada del archivo en su teléfono.

Utilizamos AD para eliminar las contraseñas de los administradores locales a nuestros servidores de Windows.

Usamos Puppet para cambiar las contraseñas de root locales y eliminar las claves ssh de los empleados de nuestros servidores Linux.

Utilizamos las herramientas de Kiwi Cat para administrar nuestro hardware de Cisco y lo usamos para restablecer las contraseñas.

Eso aún deja menos de una docena de dispositivos "únicos" (UPS, PDU remotas, impresoras, etc.) que actualizamos manualmente.

Cambiamos las contraseñas cada 6 meses o inmediatamente cuando perdemos a un miembro del equipo.

    
respondido por el Johnny 13.04.2013 - 02:31
fuente
9

Un método que he visto usado en compañías más grandes es productos como Cyber- Ark que esencialmente toma el control de las contraseñas de los cuadros y luego tiene una configuración donde puede solicitar una contraseña para un host específico por un período de tiempo. Luego, la aplicación le da la contraseña y la cambia después de que finalice el período de tiempo. Una ventaja adicional de este enfoque es que tiene un registro de quién tuvo acceso al servidor y cuándo.

De esa manera, cuando un miembro del equipo se retire, no conocerán ninguna de las contraseñas. Obviamente, debe combinar esto con herramientas de monitoreo para evitar que las personas agreguen cuentas no autorizadas o puertas traseras, pero si tiene suficientes cuentas para administrar puede ser un buen enfoque.

    
respondido por el Rоry McCune 13.04.2013 - 08:27
fuente
1

En mi departamento, el control de identidad y acceso está centralizado en IPA , que permite:

  • muy fácilmente agregar / eliminar cuentas basadas en perfiles RBAC
  • defina el estado de las cuentas (habilitado / deshabilitado)
  • almacenar las claves ssh de los usuarios (por lo que no existen claves en los servidores)
  • definir políticas de contraseña
  • implementa muy fácilmente la autenticación multifactor (kerberos + RSA + contraseña)
  • varias otras funciones de cuenta y control que no están directamente relacionadas con su pregunta (sudo, HBAC, SELinux, manejo de certificados, ...)

Cuando un miembro del equipo se retira, su cuenta se desactiva en un primer paso y luego se elimina a través de los flujos de trabajo de administración adecuados.

    
respondido por el dawud 13.04.2013 - 13:15
fuente

Lea otras preguntas en las etiquetas