2つのラックに約40台のnixサーバーが搭載されているとしましょう。すべてのrootユーザーのパスワードを同じに設定したくないのですか?そうでない場合、どのようにしてすべてのパスワードを管理および維持しますか?
LDAPサーバーはrootログインで使用できる実行可能なオプションですか?
以下にいくつかのオプションを示します。それぞれに独自のセキュリティと不安の側面があります。
これらのオプションの中で、SSHキーは、それが理にかなっている環境にいる場合に最も好きです。正直なところ、必要がないのになぜrootパスワードを持っているのですか?
私の次のお気に入りはkeepassとlastpassです。ランダムなパスワードはランダムでないパスワードよりも優れています
パスワードパターンオプションは、他のオプションよりも安全性が低くですが、容易に識別できるパターンでパスワードを使用するよりも確かに優れています。
ここで重要な違いは、他の回答に追加するために、これらのパスワードにアクセスする必要がある人の数です。それが1つ(自分自身)の場合、パスワードマネージャーがおそらく最良のソリューションです。
ただし、特権のある汎用アカウント(* nixのrootアカウントなど)を複数のユーザーが使用している場合、誰がいつ、何にアクセスしたかを追跡したり、一時的にパスワードを提供したりできるようにすることが重要になります。簡単に変更されました。
そのためには、CyberArk(@ mark-c-wallaceがコメントで言及している)のようなソリューションが適しています。
すべてのrootユーザーのパスワードを同じに設定したくないのですか?
いいえ、できません:)そして、root-ssh-loginsも無効にし、sshとパスワードで保護されたキーファイルを介して頻繁に使用されるタスクに対してSudo権限を持つ管理者ログインを使用します。
40台のサーバーのラックでは、必要なすべてのユーザー、ログイン、ssh-key-management、configなどを作成するパペットなどの管理ツールを確認する必要があります。
そうでない場合、どのようにしてすべてのパスワードを管理および維持しますか?
強力なパスワードとkeepassや前述の最終パスなどを使用します。 online-password-safesは使用しないでください。
ssh + keysを有効にすると、ssh-keyfileと特定のroot-tasksを除いて、それほど頻繁ではないパスワードが必要になりますが、pw-managerを開いて、コンソールアプリでパスワードをc&pするだけです。 Linuxを使用している場合、ターミナルにパスワードを挿入するのは3回クリックするだけです。私にとってはとても快適です。
LDAPサーバーはrootログインで使用できる実行可能なオプションですか?
ローカルコンソールからの場合を除き、ルートログインを許可しません。 ldapはアカウントに最適ですが、ldapが失敗するか、それ以外の方法で利用できない場合は、ログイン用のローカルアカウントが1つあります。 pam'n'stuff経由のセットアップは8年以上前の3年前です)大きなPITA
単に目的のために設計されたパスワードマネージャが多数あります。私はOSxに付属しているキーチェーンを使用していますが、 LastPass についても良いことを聞いています。
ここにリンクがあります これは、人気のあるパスワードマネージャーの多くを紹介しています。
Tylerlからの回答を拡張すると、次のようになります。
私の考えは、私のサーバーはケージでロックされており、ルートアカウントにアクセスする唯一の方法はケージのロックを解除してkvmを使用することであるからです。
エンタープライズベースの管理システムを使用できます。 パスワード管理用の人形 。ローカルコピーのKeepassですが、複雑すぎます。 sshkeysとPuppetを使用する方がはるかに簡単です。ログイン機能の保護が目標の場合、これはローカルマシンのルールをONLY THEIR OWN NETBLOCKに設定し、OOBを許可するのと同じくらい簡単です。 (帯域外)管理をONEに変更し、そこから変更します。これにより、複数のポイントではなく、1つのエントリポイントのみが許可されます。
たとえば、ラックの/ 25について話しているとします。自分/管理者と言うことを除いて、外部からの誰もこれにログインする必要はありません。すべてのマシンにルールをインストールして、外部から誰もがアクセスしてはならないサービス(RDP、SSH、Telnet、ブロックしたいものすべて)へのすべての接続をブロックし、1つのサーバーを他のサーバーに接続する専用のプロキシとして使用することができます。その1つのサーバーは、sshkeysを含むため、非常に安全に保護する必要があります。しかし、それでも、OOB管理用の10 $イーサネットカードでブロックすることができます。
保護と管理には多くの方法がありますが、それはすべて、物事を行うために投資したい時間とお金に依存します。