Wie verwalten Sie Passwörter für eine große Anzahl von Servern?

7

Wie verwaltet ein Rechenzentrum mit Tausenden von Servern, wie wichtig es ist, unterschiedliche Kennwörter für unterschiedliche Systeme zu haben? Momentan verwalte ich nur ein paar Dutzend Maschinen, aber die Anzahl steigt tendenziell, insbesondere bei virtuellen Maschinen. Wenn Sie eine VM klonen, hat sie dasselbe Kennwort, und wenn dies Teil eines automatisierten Workflows ist, besteht keine große Chance, es zu ändern. Wenn Sie das Ändern der Kennwörter automatisieren, muss dies sicher erfolgen, und Sie befinden sich wieder an einem einzigen Fehlerpunkt. Also, was machen die Leute?

Ich sollte erklären, dass das Problem nicht an Passwörter denkt (es gibt viele Passwortgeneratoren dafür), sondern über einen effizienten Prozess zum Einstellen und Aufzeichnen dieser Passwörter, insbesondere wenn die Maschinen automatisch erstellt werden.

Peter Westlake
quelle
Es gibt hier eine ähnliche Frage in Bezug auf Firmenkennwort-Safes. serverfault.com/questions/119892
Nathan Hartley

Antworten:

2

Die meisten Orte verwenden zwei Arten von Passwörtern: Online-Authentifizierung und Offline-Passwörter. Die Online-Authentifizierung erfolgt normalerweise mit einem Authentifizierungs- / Autorisierungssystem (AA) wie Kerberos. Jedem Administratorbenutzer werden die richtigen Token und Zugriffsrechte auf den Servern zugewiesen

Für die Offline-Verwaltung kritischer Systeme werden die Root-Passwörter separat gespeichert (in unserem Fall in einem physisch getrennten System). Der gesamte Zugriff auf die Kennwortliste wird protokolliert, und der Benutzer muss eine Motivation zum Abrufen des Root-Kennworts eines Servers eingeben. Zuvor war die Offline-Passwortliste eine gedruckte Liste, die in einem Safe gespeichert war.

Bei der Bereitstellung einer VM können Sie sich normalerweise damit zufrieden geben, dass Sie kein Root-Kennwort haben, und einfach eine Online-Authentifizierung / Autorisierung zuweisen. Es ist sehr unwahrscheinlich, dass Sie VM-Computer verwalten müssen, wenn Ihre AA-Server offline sind.

pehrs
quelle
4

Selbst wenn Sie LDAP nur schwer verwenden, verfügen die meisten Systeme über ein Root- / Superadmin-Konto für die Offline-Authentifizierung, falls jede LDAP-Instanz ausfällt. Dinge, die nicht passieren sollten, werden früher als später passieren.

LDAP könnte in diesem Fall Ihre Antwort sein, aber für das Offline-Root-Administratorkennwort sollten Sie eine zentrale CMDB, ein neues zufälliges Kennwort für jeden Server und eine Art automatisierte Routinen zum regelmäßigen Ändern dieser Kennwörter verwenden und natürlich die Änderungen überprüfen, die wurden durchgeführt.

Wenn Sie eine VM klonen (was ich nicht denke, dass Sie tun sollten, aber das ist eine andere Sache), müssen bestimmte Routinen ausgeführt werden, und eine davon sollte alle Passwörter zurücksetzen.

Bearbeiten: Um Ihre Überschrift zu beantworten "Wie wählen Sie Passwörter für eine große Anzahl von Servern aus?" - Das tust du nicht. Ich würde zufällig für alle Server verwenden. Die eigentliche Frage ist, wie und wann Sie feststellen werden, wenn jemand auf Ihren Servern verletzt hat.

riss-
quelle
+1 Kerberos ist auch ein guter Anmeldemechanismus.
Chris S
4

Ich würde davon abraten, Passwörter zwischen Computern zu teilen. Wenn einer geknackt wird, sind möglicherweise alle Ihre Maschinen gefährdet. Wenn Sie jedoch die Idee mögen, sie alle neu zu installieren ... :)

Ich würde keine Passwörter verwenden, die Sie ausarbeiten können, z. B. einen Teil des Hostnamens, der IP- / Mac-Adresse usw. Persönlich würde ich eine Software verwenden, die zum sicheren Speichern von Passwörtern entwickelt wurde, wie z. B. Keepass . Erlauben Sie keepass, die Passwörter für Sie zu generieren. Ich verwende mindestens 12 Zeichen und füge Zahlen, Groß- und Kleinbuchstaben ein, aber ich verwende die Option "Ähnlich aussehende Zeichen vermeiden", wenn Sie das Kennwort manuell eingeben müssen.

Bryan
quelle
+1 für KeePass; Wir hatten bei der letzten Zählung 280 ungerade Passwörter, und dies hilft uns, den Überblick zu behalten.
RainyRat
+1 für KeePass auch, hier unter Windows und Mac
Andy Shellam
+1 für KeePass; Verwendet es, um alles Interne und Externe im Auge zu behalten. Sie können zufällige Passwörter einfach nachverfolgen. Verwalten Sie den Zugriff einfach sorgfältig. Und das bedeutet nicht, dass Sie nicht alle diese Passwörter ändern müssen, wenn Sie Umsatz haben.
Donald Byrd
2

Bei so vielen Systemen würde die Zwei-Faktor-Authentifizierung über LDAP gut funktionieren. Ein Faktor ist ein RSA Secureid. Wenn ein Cracker ein Benutzerkennwort ermitteln würde, würde er immer noch mindestens drei RSA-Nummerngenerationen hintereinander benötigen, bevor er zukünftige Generationen duplizieren kann. Starke Passwortrichtlinien zum Booten.

Carpe Noctem
quelle
1

Wir haben eine Anwendung, die als lokaler Dienst ausgeführt wird und alle paar Wochen ein zufälliges Kennwort auswählt und ändert. Wir verwenden ein Webportal, das eine Verbindung zu der Datenbank herstellt, in der das Hash-Passwort gespeichert ist, wenn wir ein lokales Administratorkonto verwenden müssen.

Greg Askew
quelle
0

Wenn Sie Debian verwenden, können Sie

apt-get install pwgen

Dann renne

pwgen -s 10

Sie erhalten eine Liste mit Passwörtern wie folgt:

f8v80OYXeI 5MjxYpIIv2 Tm21s5L2Cn OIcli0rFzO baOxEpe76k Lkk4RrnbU0 JxmBJ2INUf
Opz0suRZ3w CItzZfEm2L e2C02fwjYI NG9szPlwiR fhr5IyY1VO 1C8GvLztE5 lYaKJFQ5vh
aAjQLPShN4 w3mMCM5ZGD 58qPYdXpQv 5Ai9vo98Tu O8MEczVUvm ZMnFNJM7Yw xA92RM2SIU
aGKHaR0Ow2 XCKdv966YN pEy1xnll4r 281ffAgBE4 dTCbw5eS0D dUWPqrW7GP yXTuubWHJ1
0nOFEatyuD nSefCV8yRG J7bgHIrEZ3 wDQWtG7QLz AOGGQx1agh zEDUp3Bt4I BS3m3EYf9q
...

Dies sind zufällig ausgewählte 10-Zeichen-Passwörter, die nur schwer zu erzwingen sind. (Das '-s' macht sie zufällig, pwgen verwendet sie standardmäßig aussprechbar)

Jason
quelle