ระบบการจัดการรหัสผ่านสำหรับ SysAdmins หลายรายการ?

16

ฉันสนใจแนวทางปฏิบัติที่ดีที่สุดและโครงการโอเพ่นซอร์สที่อาจเป็นไปได้ซึ่งจะทำให้องค์กรของฉันเก็บรหัสผ่านหลายรหัสอย่างปลอดภัยและอนุญาตให้ผู้ดูแลระบบหลายรายเข้าถึงได้ ฉันสนใจในบางสิ่งที่จะทำให้ผู้ดูแลระบบแต่ละคนมีล็อกอิน / รหัสของตนเองกับสเปรดชีต Excel ที่มีการป้องกันด้วยรหัสผ่านทั่วไป ;)

น่าจะเป็นแอพพลิเคชั่นบนเว็บที่ฉันสามารถเรียกใช้ผ่าน SSL ได้

ฉันต้องการให้ทำงานในสภาพแวดล้อม Mac / Linux - ไม่มีแอพ Windows โปรด

ขอบคุณ!

linux  password 
แอรอนบราวน์
แหล่งที่มา
3
dupe: ดูserverfault.com/questions/10285/…และคนอื่น ๆ ..
โตโต้
3
ฉันลืมที่จะพูดถึงว่าฉันต้องการโซลูชันที่จะทำงานภายใต้ Linux Windows ไม่มีปพลิเคชันโปรด :)
แอรอนบราวน์
ฉันก็มีปัญหาเช่นนั้นเรามีระบบที่เราต้องใช้สองสามอย่างที่มาจากผู้ขายของเราตอนนี้เรากำลังใช้ไฟล์ที่เข้ารหัส gpg แต่นั่นหมายความว่าผู้ดูแลระบบทุกคนสามารถเข้าถึงรหัสผ่านได้ทั้งหมด - ไม่ดี ฉันต้องการสิ่งที่ให้ฉันกำหนดรายการเข้าถึงสำหรับไซต์ (รหัสผ่าน) ที่แตกต่างกันให้กับผู้คนในทีมของเราไม่ว่าจะเป็น CLI เดสก์ท็อปหรือเครื่องมือบนเว็บ การจัดการรหัสผ่านสำหรับแอปของบุคคลที่สามเป็นสิ่งที่ต้องการการทำอย่างละเอียด สนใจที่จะสร้างรายการวิกิพีเดีย communiy บางทีเราสามารถทำงานออกข้อกำหนดสำหรับมันในทางที่ดี
serverhorror
ดูเหมือนว่าฉันจะไม่มีทางออกที่ดีจริงๆในการจัดการผู้ดูแลระบบหลายรายเพื่อเข้าถึงรหัสผ่านทั่วไป นั่นทำให้ฉันตกใจ บางทีฉันอาจจะต้องเขียน
Aaron Brown
1
เมื่อคุณมีผู้ดูแลระบบหลายคนจำเป็นต้องมีวิธีในการควบคุมผู้ที่สามารถเข้าถึงสิ่งต่าง ๆ รวมถึงลบการเข้าถึงโดยไม่ต้องเปลี่ยนคีย์ / รหัสผ่านทุกรายการ นอกจากนี้ยังมีไว้สำหรับการตรวจสอบ - ผู้ที่เข้าถึงรหัสผ่านและเวลา
Aaron Brown

คำตอบ:

3

เราใช้สิ่งนี้: http://sourceforge.net/projects/phppassmanager/ (แก้ไข / ปรับเล็กน้อย)

มันติดตั้งบนเว็บเซิร์ฟเวอร์ HTTPS พร้อมการรับรองความถูกต้องของ Active Directory เพื่อ จำกัด การดึงรหัสผ่านให้กับทีมของเรา สมาชิกแต่ละคนในทีมรู้รหัสผ่านหลักที่ใช้ในการเข้ารหัสรหัสผ่านทั้งหมดที่จัดเก็บใน phppassmanager พวกเขาใช้มันเมื่อพวกเขาต้องการที่จะเพิ่ม / แก้ไข / อ่านรหัสผ่าน รหัสผ่านจะถูกเก็บไว้ในฐานข้อมูล mysql

พวกเขาอาจเข้าถึงรหัสผ่านทั้งหมดได้ แต่การถอดรหัสรหัสผ่านแต่ละครั้งจะถูกบันทึกและมีการแสดงบันทึกให้กับทีมงานทั้งหมดในหน้าหลัก ระบบนี้มีการตรวจสอบตนเองและจัดการด้วยตนเอง

2

ฉันใช้KeePassและฉันมีความสุขมากกับมัน มันเป็นเครื่องมือจัดการรหัสผ่าน opensource ที่ใช้งานง่าย

พอล
แหล่งที่มา
2
เป็นหน้าต่างและอนุญาตให้เข้าสู่ระบบเพียงครั้งเดียวเท่านั้น ฉันต้องการโซลูชันการลงชื่อเข้าใช้หลายบัญชีเพื่อให้แต่ละดูแลระบบสามารถเข้าสู่ระบบแยกกันซึ่งเป็นวิธีเดียวที่จัดการได้และปลอดภัยในการจัดการสิ่งนี้ ฉันตกใจที่ไม่มีผลิตภัณฑ์ออกมามากมายที่ทำเช่นนี้
Aaron Brown
1
โอ้ฉันผิด - KeePass ได้รับการแจ้งความกับแพลตฟอร์มอื่นแล้ว
Aaron Brown
ใช่ KeePass ได้รับการแจ้งเตือนไปยังแพลตฟอร์มอื่นแล้ว
Paul
0

คุณปกป้องอะไรกับระบบนี้ ระบบที่คุณควบคุมหรือระบบที่ดำเนินการโดยบุคคลที่สาม?

สำหรับการตรวจสอบภายในระบบเช่น Kerberos, LDAP หรือแม้แต่ sudo และ PKI สามารถจัดการสิ่งนี้ได้

สำหรับการรับรองความถูกต้องภายนอกให้พูดกับเว็บไซต์สนับสนุนซอฟต์แวร์ว่าคุณต้องใช้ระบบที่ใช้ เครื่องมือเช่น KeePass (2.0 ทำงานกับโมโน) หรือ PasswordGorilla สามารถเก็บรหัสผ่านของคุณได้ ฉันไม่คิดว่าพวกเขาจะสนับสนุนความคิดของรหัสผ่านถอดรหัสแยกต่างหากหลายอย่าง ฉันไม่แน่ใจว่าจะสามารถทำงานทางคณิตศาสตร์ได้อย่างไร

jldugger
แหล่งที่มา
LDAP และ kerberos เป็นระบบการรับรองความถูกต้องไม่ใช่ระบบการจัดการรหัสผ่าน ฉันต้องการวิธีในการจัดเก็บรหัสผ่านรูทรหัสผ่านเราเตอร์รหัสผ่านตัวจัดการ LDAP - รหัสผ่าน 8 พันล้านรหัสใด ๆ ที่ผู้ดูแลระบบต้องใช้ในการเล่นปาหี่
Aaron Brown
ใช่มันเป็นระบบตรวจสอบสิทธิ์ คุณสามารถใช้มันเพื่อใช้งาน Single Sign On โดยไม่ต้องใช้สเปรดชีต excel hokey
jldugger
ฉันไม่แน่ใจว่าคุณเข้าใจ ไม่ใช่ทุกสิ่งที่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ LDAP หรือเซิร์ฟเวอร์ kerberos เดียวได้ ตัวอย่างเช่นรหัสผ่านรูทเซิร์ฟเวอร์ไม่ควรเก็บไว้ใน LDAP และเราเตอร์ไม่ควรเปิดใช้รหัสผ่าน
Aaron Brown
ทำได้ถูกต้องและคุณไม่จำเป็นต้องมีเครื่องมือในการเพิ่มความสะดวกในการเข้าถึงรหัสผ่านเหล่านั้น ใช่หากเครือข่ายล่มระบบของคุณอาจต้องการการตรวจสอบภายใน แต่ในกรณีของเซิร์ฟเวอร์ทำไมไม่ใช้ sudo และ PKI? ไม่มีบัญชีรูทการตรวจสอบที่ชัดเจนและไม่ขึ้นอยู่กับเครือข่าย
jldugger
เราทำใช้ LDAP และ sudo กับโมดูล PAM ที่เราสามารถทำได้ ยังมีบัญชีอื่น ๆ อีกมากมายที่ต้องจัดการ นอกจากนี้จำเป็นต้องมีเอกสารประกอบของรหัสผ่านบัญชีรูทและทุกอย่างไม่สามารถเชื่อมโยงเข้ากับระบบ LDAP ได้ นอกจากนี้ยังมีบัญชีที่จำเป็นต้องมีในกรณีที่ LDAP ไม่พร้อมใช้งานและเราจำเป็นต้องเข้าสู่ระบบ ฉันขอขอบคุณที่คุณคิดว่าคุณมีวิธีที่ดีกว่า แต่เราใช้การรับรองความถูกต้องแบบรวมศูนย์ที่เป็นไปได้จริงและเป็นไปได้ ยังมีระบบดูแลระบบหลายตัวที่ต้องสามารถเข้าถึงรหัสผ่านได้เป็นครั้งคราว
Aaron Brown
0

สำหรับสิ่งที่ฉันอ่านจนถึงระบบ wiki ใด ๆ ที่มีแบ็กเอนด์ฐานข้อมูล (แม้จะมีแบ็กเอนด์ที่เก็บไฟล์ แต่ฉันต้องการ db) ควรแก้ปัญหาของคุณ การตั้งค่าข้อ จำกัด ที่เหมาะสมในบัญชีผู้ใช้และเฉพาะคนที่คุณไว้วางใจ (ผู้ดูแลระบบ) เท่านั้นที่จะสามารถอ่าน / แก้ไขรายการ pasword (ในเอกสาร HTML ธรรมดา :)

วางไว้ด้านหลังเซิร์ฟเวอร์ที่เปิดใช้งาน SSL และ จำกัด การเข้าถึงฐานข้อมูล

แดดจัด
แหล่งที่มา
1
สิ่งนี้จะทำได้ดีหากมีหลักฐานการตรวจสอบและกลไกการรายงานที่มีประสิทธิภาพ เมื่อมีคนออกจากองค์กรฉันต้องการเรียกใช้รายงานที่แสดงรหัสผ่านทั้งหมดที่ต้องเปลี่ยน บางอย่างเช่นวิกิที่มีการป้องกัน SSL เป็นความคิดที่ดี แต่จำเป็นต้องมีสคีมาเฉพาะรหัสผ่านในใจของฉันเพื่อที่จะสามารถอำนวยความสะดวกในการรายงานได้อย่างง่ายดาย
Evan Anderson
1
@Evan บางทีคุณควรอัปเดตคำถามของคุณเพื่อรวมข้อกำหนดนี้ไว้ด้วย
Zoredache
1
อีวานไม่ได้เป็นหนึ่งถามคำถามเดิม ...
Kamil Kisiel
0

PowerBrokerเป็นผลิตภัณฑ์ของผู้ขายที่ออกแบบมาโดยเฉพาะสำหรับการควบคุม / ตรวจสอบการเข้าถึงบัญชีที่ใช้ร่วมกัน; อย่างไรก็ตามมีค่าใช้จ่ายใบอนุญาตต่อโฮสต์ที่สำคัญ

Murali Suriar
แหล่งที่มา
0

ฉันทำงานที่ บริษัท ที่ใส่ใจเรื่องความปลอดภัยเป็นอย่างมากและในทีมของฉันที่เราใช้KeePass ทั้ง 5 คนเพราะการเข้ารหัสนั้นแข็งแกร่งมากมันเป็นแพลตฟอร์มข้ามและรองรับการนำเข้าฐานข้อมูลหลาย ๆ แห่งของคุณเอง เราเก็บไว้ในระบบที่สามารถเข้าถึงได้ผ่านเครือข่ายภายในผ่านการเข้าสู่ระบบ SSH ที่ต้องใช้การตรวจสอบสิทธิ์ที่สำคัญ (ไม่มีรหัสผ่านขอบคุณ!)

jtimberman
แหล่งที่มา
กุญแจเข้ารหัสหรือไม่?
jldugger
กุญแจสาธารณะเป็นสิ่งเดียวที่ผลักออกสู่ระบบ กุญแจส่วนตัวยังคงอยู่ในเวิร์กสเตชันของแต่ละบุคคล
jtimberman
0

เราใช้รหัสผ่านมันเป็นซอฟต์แวร์ที่ยอดเยี่ยมมากคุณสามารถจัดระเบียบรหัสผ่านได้ตามหมวดหมู่ อย่างไรก็ตามฉันไม่แน่ใจว่าคุณสามารถมีผู้ใช้หลายระดับในการเข้าสู่ระบบ

vmdaemon
แหล่งที่มา
0

ฉันไม่แน่ใจว่าเป็นสิ่งที่คุณต้องการ แต่สิ่งนี้ใช้ได้ผลกับเรา: เราเก็บไฟล์ข้อความที่เข้ารหัสด้วย gpg ใน SVN ของเราซึ่งมีข้อมูลรับรองทั้งหมดเข้ารหัสด้วยรหัสทั่วไปที่เราใช้ร่วมกันทั้งหมด ข้อได้เปรียบหลักของวิธีนี้แทนที่จะใช้ keepassx หรือเครื่องมือที่คล้ายกันคือ: 1) สามารถใส่ข้อมูลที่มีรูปแบบอิสระและ 2) gpg --decrypt สามารถส่งไปยังไพพ์และใช้ในเทอร์มินัล

แน่นอนว่าใช้งานได้กับกลุ่มประมาณ 10 คนเท่านั้น แต่ด้วยการมอบหมายเล็กน้อยสามารถปรับขนาดขึ้นเล็กน้อย นอกจากนี้เรายังมีสองปุ่มและไฟล์ที่เข้ารหัสสองไฟล์สำหรับระดับการเข้าถึงที่แตกต่างกัน แต่สิ่งนี้ไม่เปลี่ยนแปลงมากนัก

โอ้และเรามักจะอยู่ห่างจากการจัดการรหัสผ่านให้มากที่สุด (ส่วนใหญ่มีคีย์ SSH ส่วนตัว)

rpetre
แหล่งที่มา
0

ฉันกำลังมองหาสิ่งเดียวกันและฉันพบ 2 ที่อาจเหมาะกับความต้องการของคุณ

Web-KeePass - ดูเหมือนว่าจะทำสิ่งที่ต้องการ แต่ฉันยังคงพยายามหาทางเลือกทั้งหมด

corporatevault - เป็นขั้นพื้นฐานมากและอยู่ในช่วงเริ่มต้น อินเทอร์เฟซยังไม่เสร็จ แต่ฉันคิดว่ามันง่ายที่จะเข้าใจ

โจเซฟ
แหล่งที่มา
0

ฉันคิดว่าsysPassเป็นตัวเลือกที่ดี มันมี:

  1. การเข้ารหัสรหัสผ่านด้วย AES-256 CBC
  2. การจัดการผู้ใช้และกลุ่ม
  3. การพิสูจน์ตัวตน MySQL, OpenLDAP และ Active Directory
  4. Multilanguag
  5. และอีกมากมาย
CDieck
แหล่งที่มา
0

เซิร์ฟเวอร์ลับ Thycotic

เราใช้มันมาหลายปีแล้วที่ บริษัท ของฉัน มันมีคุณสมบัติที่ยอดเยี่ยมมากมายเช่นการเปลี่ยนรหัสผ่านอัตโนมัติอีเมลที่ส่งเมื่อเข้าถึงรหัสผ่านบางอย่าง ฯลฯ

พวกเขายังให้การปรับปรุงปกติและเพิ่มคุณสมบัติ

https://thycotic.com/products/secret-server/

adivis12
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.