web-dev-qa-db-ja.com

多くのサーバーのrootパスワードを管理するにはどうすればよいですか?

2つのラックに約40台のnixサーバーが搭載されているとしましょう。すべてのrootユーザーのパスワードを同じに設定したくないのですか?そうでない場合、どのようにしてすべてのパスワードを管理および維持しますか?

LDAPサーバーはrootログインで使用できる実行可能なオプションですか?

passwordsauthenticationpassword-managementldap
6
DiverseAndRemote.com

以下にいくつかのオプションを示します。それぞれに独自のセキュリティと不安の側面があります。

  • KeePass または LastPass のようなツールを使用します(どちらもかなり良い)
  • SSHキーのみを使用する(ルートパスワードを完全に削除し、パスワード認証を無効にする)
  • 不可逆的なパスワードパターンを使用してください。例:SHA1(hostip + secret + some_iterator)

これらのオプションの中で、SSHキーは、それが理にかなっている環境にいる場合に最も好きです。正直なところ、必要がないのになぜrootパスワードを持っているのですか?

私の次のお気に入りはkeepassとlastpassです。ランダムなパスワードはランダムでないパスワードよりも優れています

パスワードパターンオプションは、他のオプションよりも安全性が低くですが、容易に識別できるパターンでパスワードを使用するよりも確かに優れています。

5
tylerl

ここで重要な違いは、他の回答に追加するために、これらのパスワードにアクセスする必要がある人の数です。それが1つ(自分自身)の場合、パスワードマネージャーがおそらく最良のソリューションです。

ただし、特権のある汎用アカウント(* nixのrootアカウントなど)を複数のユーザーが使用している場合、誰がいつ、何にアクセスしたかを追跡したり、一時的にパスワードを提供したりできるようにすることが重要になります。簡単に変更されました。

そのためには、Cyber​​Ark(@ mark-c-wallaceがコメントで言及している)のようなソリューションが適しています。

4
Rory McCune

すべてのrootユーザーのパスワードを同じに設定したくないのですか?

いいえ、できません:)そして、root-ssh-loginsも無効にし、sshとパスワードで保護されたキーファイルを介して頻繁に使用されるタスクに対してSudo権限を持つ管理者ログインを使用します。

40台のサーバーのラックでは、必要なすべてのユーザー、ログイン、ssh-key-management、configなどを作成するパペットなどの管理ツールを確認する必要があります。

そうでない場合、どのようにしてすべてのパスワードを管理および維持しますか?

強力なパスワードとkeepassや前述の最終パスなどを使用します。 online-password-safesは使用しないでください。

ssh + keysを有効にすると、ssh-keyfileと特定のroot-tasksを除いて、それほど頻繁ではないパスワードが必要になりますが、pw-managerを開いて、コンソールアプリでパスワードをc&pするだけです。 Linuxを使用している場合、ターミナルにパスワードを挿入するのは3回クリックするだけです。私にとってはとても快適です。

LDAPサーバーはrootログインで使用できる実行可能なオプションですか?

ローカルコンソールからの場合を除き、ルートログインを許可しません。 ldapはアカウントに最適ですが、ldapが失敗するか、それ以外の方法で利用できない場合は、ログイン用のローカルアカウントが1つあります。 pam'n'stuff経由のセットアップは8年以上前の3年前です)大きなPITA

3
that guy from over there

単に目的のために設計されたパスワードマネージャが多数あります。私はOSxに付属しているキーチェーンを使用していますが、 LastPass についても良いことを聞いています。

ここにリンクがあります これは、人気のあるパスワードマネージャーの多くを紹介しています。

2
Abe Miessler

Tylerlからの回答を拡張すると、次のようになります。

  1. rootパスワードを無効にする-パスワードは不要
  2. sshからのrootログインを無効にする
  3. lDAPを使用して他のユーザーアカウントを管理する
  4. 必要に応じて、ユーザーをsudoersグループに追加します。

私の考えは、私のサーバーはケージでロックされており、ルートアカウントにアクセスする唯一の方法はケージのロックを解除してkvmを使用することであるからです。

1
DiverseAndRemote.com

エンタープライズベースの管理システムを使用できます。 パスワード管理用の人形 。ローカルコピーのKeepassですが、複雑すぎます。 sshkeysとPuppetを使用する方がはるかに簡単です。ログイン機能の保護が目標の場合、これはローカルマシンのルールをONLY THEIR OWN NETBLOCKに設定し、OOBを許可するのと同じくらい簡単です。 (帯域外)管理をONEに変更し、そこから変更します。これにより、複数のポイントではなく、1つのエントリポイントのみが許可されます。

たとえば、ラックの/ 25について話しているとします。自分/管理者と言うことを除いて、外部からの誰もこれにログインする必要はありません。すべてのマシンにルールをインストールして、外部から誰もがアクセスしてはならないサービス(RDP、SSH、Telnet、ブロックしたいものすべて)へのすべての接続をブロックし、1つのサーバーを他のサーバーに接続する専用のプロキシとして使用することができます。その1つのサーバーは、sshkeysを含むため、非常に安全に保護する必要があります。しかし、それでも、OOB管理用の10 $イーサネットカードでブロックすることができます。

保護と管理には多くの方法がありますが、それはすべて、物事を行うために投資したい時間とお金に依存します。

0
munkeyoto