¿Dónde debe un equipo almacenar las credenciales del servidor [duplicar]?

8

Imagina que estamos trabajando en un equipo de alrededor de 5 personas. Todos instalamos nuevos servidores cada mes y necesitamos encontrar una mejor manera de almacenar y compartir las credenciales del servidor (ubicación sin conexión / webadress, inicio de sesión de raíz, inicio de sesión de db, ...) en algún lugar donde todo el equipo pueda acceder a ellos, lea /escribir. Esta ubicación no tiene que ser accesible a través de Internet, pero es una lata si alguien puede proporcionar una forma segura de hacerlo.

En este momento:

  • actualmente el que configura el servidor tiene las credenciales: las recuerda (usualmente está conectado a contraseñas estándar muy inseguras) o las escribe en un correo electrónico, las intercambia a través de Skype, las coloca en un documento de Word local, las escribe en una hoja de papel
  • Las claves ssh ya están en uso, pero simplemente sucedió que el servicio no estaba disponible y necesitábamos el inicio de sesión de root, pero fue difícil de encontrar y eso no debería volver a ocurrir

¿Qué es una práctica segura y mejor de almacenar y compartir credenciales en un equipo?

¿Sólo papel? ¿Compartir samba con documentos? ¿Como emails solamente? ¿Algún tipo de base de datos? ¿Software de terceros?

    
pregunta Preexo 09.10.2014 - 07:20
fuente

4 respuestas

3

Su problema es bastante común y, en general, se lo denomina PAM / PUM / PIM / PxM con Cuenta Privilegiada / Usuario / Identidad.

Keepass for sure es una solución que se usa con bastante frecuencia, pero desde la perspectiva de la seguridad, el cumplimiento y la auditoría no es la mejor. Dado que eres un equipo de cinco personas, es difícil saber si tienes que cumplir con alguna política. Pero si tiene que hacerlo, una solución comercial sería algo a considerar. Aborda más que solo la administración de contraseñas y el intercambio de contraseñas en un equipo, sino también la responsabilidad individual, los informes y demás.

Así que realmente depende de tus requisitos, qué camino tomar. Desde mi experiencia, puedo decirles que hay muchas maneras diferentes de usar en entornos empresariales, desde el papel en una ubicación segura, hasta los archivos en recursos compartidos. Especialmente con respecto a los archivos en recursos compartidos, correos electrónicos u otro almacenamiento "en línea", siempre recuerde que puede haber algún administrador que pueda acceder a aquellos a quienes no está destinado.

HTH.

    
respondido por el pat 09.10.2014 - 08:18
fuente
3

Estamos usando un archivo de texto simple criptado gnupg, que se distribuye & versionado por git. Cada administrador puede descifrar ya sea con

  1. una clave conocida común (secreto compartido - tal vez más riesgo en caso de transmisión) o
  2. cada administrador puede descifrar con su propia clave (creo que el riesgo de filtración secreta será comparable)

Git lo salvará en caso de operaciones de cifrado configuradas incorrectamente.

Para uso en el escritorio, solo puedo sugerir herramientas para kubunutu:

  • El elemento de lista kgpg es una buena herramienta en la barra de intentos con un pequeño editor integrado para descifrar, por ejemplo. el archivo de credenciales
  • Kleopatra puede en- / descifrar el portapapeles

Puedo imaginar que hay herramientas similares para Windows. Puede visitar enlace para obtener una primera descripción general

    
respondido por el jerger 09.10.2014 - 17:06
fuente
0

KeePass funciona bien para contraseñas relativamente estáticas o para entradas dinámicas. Consulte Password Vault - Enterprise para obtener más información.

También encontré una opción realmente útil (¿alternativa?) para las cuentas compartidas predeterminadas, como el administrador local. Empujar copias de sus contraseñas a un recurso compartido SMB o usar SCP (con auditoría de acceso y cifrado en uso) funciona realmente bien para una solución de elaboración doméstica.

Programe cambios diarios / por hora / etc., audite el acceso a los archivos de contraseña y los eventos de inicio de sesión y tendrá un historial preciso de quién inició sesión.

Es ¿Hay más riesgo de cambiar la contraseña del administrador localmente desde una ubicación centralizada?

    
respondido por el Tim Brigham 09.10.2014 - 21:24
fuente
0

LastPass o 1Password parecen ser buenas soluciones, ya que serán más fáciles de actualizar que algo offline como KeePass. Mejor para Premium, entonces configuras un token con él, pero no estoy seguro de si eso funcionaría con el uso compartido. Los administradores de contraseñas sin conexión tendrían que estar sincronizados entre el equipo a medida que cada uno se agrega a él y, probablemente, a la larga lleve a los mismos problemas.

Mientras tanto, esto es mejor que tu proceso actual; Sin embargo, esta no es una solución a largo plazo. Eventualmente, necesitará una solución amplia de la organización para alojar y proteger esa información. Algo que puede controlar, que puede servir a las necesidades de su organización. Lo que eso significa depende de sus recursos disponibles, que estoy apostando son demasiado limitados para costear un sistema completamente desarrollado. Eso te deja con soluciones económicas a corto plazo. Pero creo que todos estamos acostumbrados a eso.

    
respondido por el Paraplastic2 09.10.2014 - 21:24
fuente

Lea otras preguntas en las etiquetas