Passwort-Management-System für mehrere SysAdmins?

16

Ich interessiere mich für Best Practices und potenzielle Open Source-Projekte, mit denen meine Organisation mehrere Kennwörter sicher speichern und mehreren Administratoren den Zugriff darauf ermöglichen kann. Ich bin an etwas interessiert, das es jedem Administrator ermöglicht, einen eigenen Login / Schlüssel gegenüber der typischen passwortgeschützten Excel-Tabelle zu haben. ;)

Am besten wäre eine webbasierte Anwendung, die ich über SSL ausführen kann.

Ich brauche es, um in einer Mac / Linux-Umgebung zu laufen - bitte keine Windows-Apps.

Vielen Dank!

linux password Aaron Brown
quelle
3
dupe: siehe serverfault.com/questions/10285/… und andere ..
Toto
3
Ich habe vergessen zu erwähnen, dass ich eine Lösung brauche, die unter Linux laufen wird. Bitte keine Windows-Apps :)
Aaron Brown
Auch ich habe dieses Problem, wir müssen eine ganze Reihe von Systemen verwenden, die von unseren Anbietern stammen. Momentan verwenden wir eine gpg-verschlüsselte Datei, aber das bedeutet, dass jeder Administrator Zugriff auf jedes Kennwort hat - nicht gut. Ich hätte gerne etwas, mit dem ich Zugriffslisten für verschiedene Websites (Passwörter) für verschiedene Personen in unserem Team definieren kann, sei es für eine CLI, einen Desktop oder ein Web-Tool. Die Passwortverwaltung für Apps von Drittanbietern muss unbedingt ausgearbeitet werden. Pflege ein Communiy Wiki - Eintrag erstellen vielleicht können wir die Anforderungen an sie in einer besseren Art und Weise trainieren
serverhorror
Es scheint mir, dass es keine wirklich gute Lösung gibt, mehrere Administratoren für den Zugriff auf einen gemeinsamen Speicher von Kennwörtern zu authentifizieren. Diese Art schockiert mich. Vielleicht muss ich nur einen schreiben.
Aaron Brown
1
Genau, wenn Sie mehrere Systemadministratoren haben, muss es eine Möglichkeit geben, zu steuern, wer Zugriff auf was hat, sowie deren Zugriff zu entfernen, ohne jeden Schlüssel / jedes Kennwort zu ändern. Es ist auch für die Prüfung - wer hat wann auf welches Passwort zugegriffen.
Aaron Brown

Antworten:

3

Wir verwenden dies: http://sourceforge.net/projects/phppassmanager/ (etwas modifiziert / angepasst)

Es ist auf einem HTTPS-Webserver mit Active Directory-Authentifizierung installiert, um den Abruf von Kennwörtern an unser Team zu beschränken. Jedes Mitglied des Teams kennt ein Master-Passwort, mit dem alle im phppassmanager gespeicherten Passwörter verschlüsselt werden. Sie verwenden es, wenn sie ein Passwort hinzufügen, ändern oder lesen möchten. Die Passwörter werden verschlüsselt in einer MySQL-Datenbank gespeichert.

Sie haben möglicherweise Zugriff auf alle Kennwörter, aber jede Kennwortentschlüsselung wird protokolliert, und die Protokolle werden dem gesamten Team auf der Hauptseite angezeigt. Dieses System wird selbst überwacht und verwaltet.


quelle
2

Ich benutze KeePass und bin sehr zufrieden damit. Es ist eine OpenSource einfach zu bedienende Passwortverwaltung.

Paul
quelle
2
Es ist Windows und erlaubt nur eine einzige Anmeldung. Ich benötige eine Lösung für mehrere Anmeldungen, damit sich jeder Sysadmin separat anmelden kann. Dies ist die einzige verwaltbare und sichere Möglichkeit, dies zu tun. Ich bin schockiert, dass es nicht so viele Produkte gibt, die dies tun.
Aaron Brown
1
Oh, ich irre mich - KeePass wurde auf andere Plattformen portiert
Aaron Brown
ja, KeePass wurde definitiv auf andere Plattformen portiert.
Paul
0

Was genau schützen Sie mit diesem System? Systeme, die Sie steuern, oder Systeme, die von Dritten betrieben werden?

Bei der internen Authentifizierung können Systeme wie Kerberos, LDAP oder auch nur Sudo und PKI damit umgehen.

Bei der externen Authentifizierung, z. B. auf einer Software-Support-Website, wird das von ihnen implementierte System stark beeinträchtigt. Tools wie KeePass (2.0 funktioniert irgendwie mit Mono) oder PasswordGorilla können Ihre Passwörter speichern. Ich denke nicht, dass einer von ihnen die Idee mehrerer separater Entschlüsselungskennwörter unterstützt. Ich bin mir nicht sicher, wie das mathematisch funktionieren könnte.

Jldugger
quelle
LDAP und Kerberos sind Authentifizierungssysteme, keine Kennwortverwaltungssysteme. Ich brauche eine Möglichkeit zum Speichern von Root-Passwörtern, Router-Passwörtern und LDAP-Manager-Passwörtern - alle 8 Milliarden Passwörter, die ein Systemadministrator zum Jonglieren benötigt.
Aaron Brown
Ja, ja, es handelt sich um Authentifizierungssysteme. Sie verwenden sie, um Single Sign On ohne die hokey Excel-Tabelle zu implementieren.
Jldugger
Ich bin mir nicht sicher, ob du das verstehst. Es kann nicht alles an einen einzelnen LDAP- oder Kerberos-Server angeschlossen werden, und dies sollte auch nicht der Fall sein. Beispielsweise sollten Server-Root-Passwörter niemals in LDAP gespeichert werden und Router-Passwörter sollten nicht aktiviert werden.
Aaron Brown
Wenn Sie es richtig machen, benötigen Sie kein Tool, um den Zugriff auf diese Kennwörter zu optimieren. Ja, wenn das Netzwerk ausfällt, benötigen Ihre Systeme wahrscheinlich eine interne Authentifizierung. Aber warum nicht einfach sudo und PKI bei Servern verwenden? Kein Root-Konto, klare Überwachung und nicht netzwerkabhängig.
Jldugger
Wir tun Verwendung LDAP und sudo mit einem PAM - Modul , wo wir können. Es gibt noch ein Dutzend anderer Konten, mit denen man sich befassen muss. Darüber hinaus muss die Dokumentation der Root-Kontokennwörter vorhanden sein, und es kann nicht alles in ein LDAP-System eingebunden werden. Es gibt auch Konten, die vorhanden sein müssen, falls LDAP nicht verfügbar ist und wir in die Systeme eindringen müssen. Ich freue mich, dass Sie glauben, Sie hätten einen besseren Weg, aber wir verwenden bereits eine zentralisierte Authentifizierung, wo dies praktisch und möglich ist. Es gibt immer noch mehrere Systemadministratoren, die gelegentlich auf Kennwörter zugreifen müssen.
Aaron Brown
0

Für das, was ich bisher gelesen habe, sollte jedes Wiki-System mit Datenbank-Backend (auch mit Dateispeicher-Backend, aber ich würde db vorziehen) Ihr Problem lösen. Wenn Sie die Benutzerkonten ordnungsgemäß einschränken, können nur die Personen, denen Sie vertrauen (Administratoren), die Passwortlisten lesen / ändern (in einem einfachen HTML-Dokument :).

Stellen Sie es hinter einen SSL-fähigen Server und beschränken Sie den Zugriff auf die Datenbank.

Sonnig
quelle
1
Dies wäre in Ordnung, wenn es einen zuverlässigen Prüfpfad und einen soliden Berichtsmechanismus gäbe. Wenn jemand die Organisation verlässt, möchte ich einen Bericht erstellen, in dem alle zu ändernden Kennwörter aufgeführt sind. So etwas wie ein SSL-geschütztes Wiki ist eine nette Idee, aber meiner Meinung nach muss es ein passwortspezifisches Schema haben, damit es die Berichterstellung auf einfache Weise erleichtert.
Evan Anderson
1
@Evan, möglicherweise sollten Sie Ihre Frage aktualisieren, um diese Anforderung zu berücksichtigen.
Zoredache
1
Evan war nicht derjenige, der die ursprüngliche Frage stellte ...
Kamil Kisiel
0

PowerBroker ist ein Anbieterprodukt, das speziell für die Steuerung / Überwachung des Zugriffs auf freigegebene Konten entwickelt wurde. Es fallen jedoch erhebliche Lizenzkosten pro Host an.

Murali Suriar
quelle
0

Ich habe in einem sehr sicherheitsbewussten Unternehmen gearbeitet und in meinem 5- köpfigen Team haben wir KeePass verwendet , da die Verschlüsselung stark ist, plattformübergreifend ist und das Importieren mehrerer Datenbanken in Ihre eigenen Datenbanken unterstützt. Wir haben es auf einem System gespeichert, auf das nur über das interne Netzwerk über SSH-Anmeldungen zugegriffen werden konnte, für die eine Schlüsselauthentifizierung erforderlich war (keine Passwörter, danke!).

jtimberman
quelle
Sind die Schlüssel verschlüsselt?
Jldugger
Der öffentliche Schlüssel war das einzige, was an Systeme weitergegeben wurde. Die privaten Schlüssel blieben auf den Arbeitsstationen der Einzelpersonen.
jtimberman
0

Wir verwenden Keypass. Es ist eine ziemlich coole Software. Sie können Kennwörter nach Kategorien sortieren. Ich bin mir jedoch nicht sicher, ob Sie unterschiedliche Benutzerebenen haben können, um sich anzumelden.

vmdaemon
quelle
0

Ich bin mir nicht ganz sicher, ob es das ist, was Sie brauchen, aber das funktioniert für uns: Wir speichern in unserem SVN eine gpg-verschlüsselte Textdatei mit allen Anmeldeinformationen, verschlüsselt mit einem gemeinsamen Schlüssel, den wir alle teilen. Die Hauptvorteile dieses Ansatzes anstelle von keepassx oder ähnlichen Werkzeugen sind: 1) man kann dort Freiforminformationen ablegen und 2) gpg --decrypt kann an eine Pipe gesendet und in einem Terminal verwendet werden.

Sicher, das funktioniert nur für eine Gruppe von ~ 10 Leuten, aber mit ein bisschen Delegation kann man das ein bisschen hochskalieren. Wir haben auch zwei Schlüssel und zwei verschlüsselte Dateien für unterschiedliche Zugriffsebenen, aber das ändert sich nicht viel.

Oh, und wir meiden den Umgang mit Passwörtern so oft wie möglich (hauptsächlich mit persönlichen SSH-Schlüsseln).

rpetre
quelle
0

Ich suche genau das Gleiche und habe 2 gefunden, die Ihren Bedürfnissen entsprechen könnten.

Web-KeePass - Dies scheint das zu tun, was benötigt wird, aber ich versuche immer noch, alle Optionen herauszufinden.

corporatevault - Es ist sehr einfach und in einem frühen Stadium. Das Interface ist noch nicht fertig, aber ich fand es ziemlich einfach, es herauszufinden.

Joseph
quelle
0

Ich halte sysPass für eine gute Wahl. Es bietet:

  1. Passwortverschlüsselung mit AES-256 CBC.
  2. Benutzer- und Gruppenverwaltung
  3. MySQL-, OpenLDAP- und Active Directory-Authentifizierung.
  4. Mehrsprachig
  5. und so viel mehr
CDieck
quelle
0

Thycotic Secret Server.

Wir nutzen dies seit vielen Jahren in meiner Firma. Es hat eine Menge großartiger Funktionen wie das automatische Ändern von Passwörtern, E-Mails, die gesendet werden, wenn auf bestimmte Passwörter zugegriffen wird, usw.

Sie bieten auch regelmäßige Updates und fügen Funktionen hinzu.

https://thycotic.com/products/secret-server/

adivis12
quelle