Soru Bir Sistem Yöneticileri ekibi parolaları nasıl güvenli bir şekilde paylaşır?


Birkaç kişi arasında yüzlerce şifreyi paylaşmanın en iyi yöntemleri nelerdir? Bu şifreler, kritik görev verilerini korur ve küçük bir ekibin ötesinde hiçbir zaman görülemez.


81
2018-06-02 23:50


Menşei


İlgili görmek serverfault.com/questions/3696/...  serverfault.com/questions/2186/...  serverfault.com/questions/10285/...  serverfault.com/questions/21374/... - Zoredache
BTW yüzlerce çok rahatsız edici bir sayıdır. Ekip üyelerinden biri kovulduğunda ne olur? Yüzlerce şifrenin güncellenmesi acı verici olacaktır. - Zoredache
"Yüzlerce çok sorunlu bir sayı" şeyiyle ilgili. Sanırım, şu anda sahip olduğunuz şeylere yapıştırma alçısı koymak yerine, tüm güvenlik olayını nasıl yönetiyorsunuz diye tekrar gözden geçirmeniz ve yeniden gözden geçirmeniz gerekebilir. - Maximus Minimus
Biraz ilgili: serverfault.com/questions/119892  Özellikle bu cevap: serverfault.com/questions/119892/company-password-management/... - Nathan Hartley


Cevaplar:


Şirket intranetinde barındırılan özel bir web tabanlı çözüm yazabilirim. (şuna baksana http://lastpass.com ilham almak ya da kullanmak için. Parolaları paylaşmak, özelliklerinden biri olsa da, biriminiz için çalışmayabilir.)

DÜZENLE: Elbette, en iyi çözüm, onları paylaşma. Net metin şifrelerinin herhangi bir ortamda saklanması tehlikelidir, özellikle de bunları depolamak amacıyla paylaşmak istediğinizde. Her biri ilişkili bir tehlike yaratan neredeyse sonsuz sayıda çözüm var. Onları neden şifrelenmiş bir disk görüntüsüne koymuyorsunuz, o görüntüyü tek bir CD'ye yazdırıyorsunuz, CD'yi sadece bir silahlı muhafazanın açabileceği bir kasaya koyun ve yetkili kişilerin fotoğraflı kimliğini kilidini açacak şekilde sunun mu?

Önemli olan senaryoyu gerçekten bilmiyoruz. Neden yüzlerce kritik görevli şifreyi paylaşıyorsunuz? Backoffice intranet'iniz, VPN'iniz mi, yoksa herhangi bir nedenden dolayı düz metinde tuttuğunuz müşteri parolaları mı? Aynı yüklemede paylaşmanız gereken herkes var mı? Şifrelenmiş bir CD veya bir kasada saklanan basılı bir masa gibi fiziksel bir aktarım aslında işe yarar mı? Ya da senin sisteminiz dünyanın her tarafına yayılıyor, onları paylaşmanın elektronik yolunu yapıyor. sadece çözüm?


14
2018-06-02 23:58



IMO Kendi güvenlik / şifreleme sisteminizi kurmak neredeyse bir problem için doğru yaklaşım değildir. - Zoredache
@Zoredache, Bu bir saçmalık yükü. Yine de, şifreleri barındıran web tabanlı bir çözüm olduğunu düşünüyorum, ama msanford intranet demişti. Yine de riskli. Diğer tüm ağ çözümleri için de aynı. - d-_-b
@Zoredache, OP özel bir şifreleme sistemi oluşturmuyor, ihtiyaç duyduğu tek şey güvenli bir veritabanı. @sims İyi tasarlanmış bir web tabanlı çözümle yanlış bir şey göremiyorum. Yukarı-cevap cevabı tam olarak (web tabanlı! = Http; web-tabanlı = çevrimiçi olarak saklanır) önerir. Kuşkusuz, bu soruyu bir kez daha okuduktan sonra, şifre parola paylaşımının temel modelinin gereksiz olduğunu ve daha iyi bir çözüme ulaşılabileceğini kabul ediyorum. Ancak OP, bu kararı vermem için yeterli bilgi vermedi… - msanford
> @Zoredache, bu saçmalık bir yük. <Um, Sims, neredeyse en çok şifreleme milletinin karşısında yarasadan uçuyorsun. Şifrelemeyi tasarlamak çok zordur, bu da şifrelemeyi zorlaştırır. schneier.com/essay-037.html  Bazen, daha az kötülük - bildiğiniz kişi - bilmediğiniz şeytanla karşılaştığınızda daha iyi bir seçimdir (yani, test edilmemiş, gözden geçirilmemiş, hatalar olabilir, güvenlik açıları olabilir vb.) ) - Avery Payne
@Avery - Bir kriptografik sistemin tasarlanması zordur ve uzmanlara bırakılmalıdır, evet. Paylaşılan bir metin dosyasında GPG gibi denenmiş ve test edilmiş araçlar veya Keepass (AES ve SHA-256'nın .NET uygulamalarını kullanan) kullanmak kendi sisteminizi tasarlamamaktadır. - mfinni


En iyi uygulama şifreleri paylaşmamaktır. Kullanıcıların ihtiyaç duydukları erişimi kendi hesaplarından almalarını sağlamak için sudo gibi araçlar kullanın. Birkaç kullanıcınız varsa, ihtiyaç duyulan her birinin kendi hesapları olmalıdır. LDAP (Unix / Linux) ve Active Directory, ortak bir veritabanından birden çok sunucuya erişim izni vermek için iyi bir çözümdür.

Bir şifrenin yazılı bir kopyasına sahip olmak gerektiğinde, mühürle imzalanmış ve mühürlenmiş bir zarf içinde mühürleyin. Kullanıldığında şifreyi değiştirin. Şifre değiştirildiğinde, yeni bir zarf.

Gerçekten paylaşılması gereken parolalar için, Keepass gibi bir veritabanında veritabanına sahip olabilecek parola araçlarından birini kullanın. Birden fazla platform için müşterileri olan araçlar daha iyidir. Birden fazla veritabanına ihtiyacınız olup olmadığını düşünün. Bu verilere erişimi olan herkese gerçekten güvenmeniz gerektiğini unutmayın.


38
2018-06-03 00:04



İmtiyazlı kullanıcı hesapları için +1, olası imtiyaz artışına sahip yöneticiler için * nix sunucularında, bunu sshd için yalnızca dsa / rsa sertifikası ile birleştirdim. Linux altında grafik araçlarla şeyler yapıyorsanız, özelleştirilmiş bir politika seti yapılandırması da kullanabilirsiniz. - Aaron Tate
Bu. Paylaşılan kimlik bilgilerini kullanırken kullanıcılar için erişimi iptal etmek mutlak bir kabus. Mümkün olan her yerde, kullanıcılara benzersiz bir hesap üzerinden erişim yetkisi verin. Her zaman ortak bir şifrenin kaçınılmaz olduğu birkaç durum vardır, ancak paylaşılan şifrelerin 'yüzlerce' kritik tasarım kusurlarını çığrtırır. - Chris Thorpe
Genelde parola paylaşmayla aynı fikirdeyim, ancak tek bir girişe sahip ağ aygıtları, tüm sysadmins'in sipariş için aynı oturum açmayı kullandığı satıcı siteleri ve SQL sa kullanıcıları veya yerel yönetici parolaları gibi gerekli birçok durum vardır. gerekli. Bu yüzden KeePass'ın bunun için en iyisi olduğunu düşünüyorum: Birden fazla platform üzerinde çalışıyor, iyi bir güvenlik sağlıyor ve yüzlerce şifreyi kolayca düzenliyor. - Paul Kroon
Bunun üzerine yazılan kök şifrelerimizin olduğu ancak yalnızca sistem ekibinin açacağı anahtarların bulunduğu bir kasaya kilitlendiğimiz bir varyasyonumuz var. Kök parolalarımızın kendileri 16 karakter uzunluğundadır ve hatırlamak imkansız olduğu bir şekilde üretilirler. Evet, orada bazı güvensizlikler var, ama birisi kasaya girerse, daha büyük sorunlarımız olduğundan şüpheleniyorum. - Frenchie
İşte ekibimiz için gerçek bir kullanım senaryosu: tek bir hesap için çoklu girişleri desteklemediği web tabanlı uygulamalar için parola paylaşımı. Dolayısıyla, ekipteki birden fazla kişinin bu hesaba erişebilmesi gerekiyorsa, söz konusu hesap için şifreleri paylaşmanın bir yolu olmalıdır. - Jordan Reiter


İle gittik KeePass Bu tam amaç için. Tüm şifrelerinizi şifrelenmiş bir veritabanı dosyasında saklayan harika bir program. Parolalara erişmek için ana parola ile birlikte bir anahtar dosyaya ihtiyaç duyulması gibi ek güvenlik özellikleri vardır. Bu, herkesin farklı parolalarla çalışması için elverişli hale getirirken, birden çok güvenlik katmanı (anahtar dosyasını ve veritabanını ayırır) sağlar. Örneğin, uygulamayı ve anahtar dosyasını bir USB sürücüsünden çalıştırabilir, ancak veritabanını bir yere ağınızda depolayabilirsiniz. Bu, ağ paylaşımı, ana parola ve anahtar dosyasıyla fiziksel USB sürücüsü için kimlik bilgileri gerektirir.


10
2018-06-02 23:59



KeePass, birden fazla platformu destekliyor gibi gözüküyor (gözlerimdeki karmaşık bir ortamda çalışıyorum). "Otomatik tip" özelliği de kullanışlı görünüyor. - Avery Payne
Parolaları ağda tutmak için aptalca bir fikir. - d-_-b
@Sims - o zaman bunları nasıl paylaşıyorsunuz? KeePass mağaza için şifrelenmiş bir dosya kullanır. Bu, herkesin erişebileceği bir Unix sunucusunda GPG şifreli bir metin dosyasının daha kullanışlı bir sürümüdür. - mfinni
@Sims - Normalde sizinle aynı fikirdeyim, ancak güvenlik ve üretkenlik açısından bir durum haline gelir. Bir sunucunun root şifresini bu gibi bir şeye koymak istemem ama sadece bir giriş yapan bir Layer 2 anahtarının yönetici şifresi bunun için iyi bir adaydır. Güvenlik ihlalinden sonra temizlik yapmaktan daha güvenli bir iş yapmanın daha fazla iş gerektirdiği bir nokta var. Ayrıca, tüm şifrelemenin üstünde, dosya üzerinde AD / NTFS güvenliğine sahip olacaksınız ve dosyayı (herhangi bir şekilde adlandırılabilir) rastgele bir konuma yerleştirerek biraz belirsizlik yaşayacaksınız. - Paul Kroon
Bir Windows makinesi düşünmüyordum. Ama evet, eğer bu anahtar için sadece bir kullanıcınız varsa, o zaman mantıklı olur. Aksi takdirde, Bill'in söylediği gibi, paylaştığım şifreler için hayır deyin. - d-_-b


Birkaç kişi arasında yüzlerce şifreyi paylaşmanın en iyi yöntemleri nelerdir?

Kolay, bu iki lezzetle geliyor:

  1. Sen sade ve basit değilsin. Bunu yapmayı seçerseniz, parola kimlik doğrulamasını harici bir güvenilen yetkiliye erteler ve oradan kimlik doğrulamasını denetlersiniz.

  2. Bunu yaparsınız, ancak kullandığınız sistemde kayıtlı olmayan parolalar veya güvenlik belirteçleri olan harici erişim denetimleri vardır (yani parolaların kaydı sınırlı kullanılabilirlik olan başka bir parola ile korunur). Bununla ilgili çok sayıda problem var.

Bu şifreler, kritik görev verilerini korur ve küçük bir ekibin ötesinde hiçbir zaman görülemez.

Sorunu çözmek için bir dizin hizmetiyle bütünleşen güvenli bir kimlik doğrulama hizmetini ciddi olarak düşünmelisiniz. DS / AS kombinasyonu, tüm kullanıcılarınız ve cihazlarınız için bir hakem olarak hareket edebilen güvenilir bir "yetki" yaratır. Kullanıcı hesaplarının erişimini, kimlik doğrulamasında kullanılan gerçek paroladan soyutlayarak, erişim ilkelerinden parolaları "kesmek" kolaylaştırabilirsiniz. Şifrelerin kontrolü, kullanıcının hesabının devre dışı bırakılmasıdır; Böylece bir yönetici ayrılırsa, hesabını kapatırsınız ve erişimi kesilir (çünkü bu kişinin şifresi sadece hesabın geçerli olduğunu doğrulayan DS / AS'nin geçerliliğine dayanarak erişim hakkı verir).

Bu, yalnızca aygıtlarınızın / programlarınızın kimlik doğrulama isteklerini harici kaynaklara yönlendirmesine izin veren bir ortamda bulunduğunuzda çalışacaktır, dolayısıyla sizin için bir çözüm olmayabilir.. Harici kimlik doğrulamayı alabilecek önemli bir cihaz / program yüzdesine sahipseniz, sadece birkaç yüz şifreyi bir düzine kadar yönetilebilir bir listeye ayırmak için devam edersem bunu yapardım. Bu rotaya gitmeye karar verirseniz, bunun için çeşitli hazır, iyi bilinen ve iyi test edilmiş çözümler vardır.

  • Active Directory  Muhtemelen grubun en bilinenleri, size bir kimlik doğrulama seçeneği olarak Kerberos'u verir ve temel DS için LDAP sağlar.
  • Samba / winbind.  Bunu "Active Directory Işığı" olarak düşünün, tüm AD'lerin özelliklerini almazsınız, daha ziyade NT4'e dayanan eski bir model (LANMAN karma düşünün). Bu, Samba 4'ün AD entegrasyonuyla tamamlanacak ve muhtemelen "gidecek" olacak.
  • Novell Dizin Hizmetleri.  Bunu tavsiye etmek için yeterli bilgim yok, ama hala var olduğunu biliyorum. Birçok hükümet kuruluşu hala NDS kullanıyor, bu yüzden bu "sektörde" çalışıyorsanız, ilginizi çekecektir. Novell geçtiğimiz günlerde bir Linux servisi olarak çalışacak NDS'yi taşıdı, ancak hala aktif bir ürün olup olmadığını bilmiyorum (yaklaşık 2005).
  • LDAP + Kerberos.  Bu temel olarak "ev sahibi" Active Directory, eksi tüm "güzel özellikler" dir. Bununla birlikte, bunlar aynı zamanda, kararlı, olgunlaşmış bir kod tabanı olan bileşenler olarak bilinir, bu nedenle bu hizmetlerin entegrasyonu, işleri yapmak için gerekli olan "özelleştirme" boyutudur.
  • SSH Keys + (sistem yönetim programını buraya yerleştirin, muhtemelen kukla).Sadece tahta üzerinde SSH bulunduğunuz yerlerde ve tüm cihazlara bu şekilde erişebilirsiniz. Anahtarlar gerektiğinde dağıtılabilir ve iptal edilebilir ve SSH anahtarı erişim sağladığı için şifreler "alakasız" olur. Kukla gibi bir sistem kullanmak, SSH anahtarlarını eklemek / iptal etmek için en-masse komutları vererek yüzlerce makineyi güncellemenize olanak tanır.
  • Yukarıdakilerin bazı kombinasyonları.

Ne kadar güvenliğe ihtiyacınız olduğuna dair bir soru da var. "Görev kritik" tarafından nükleer savaş başlıkları şehirlere yağabilir mi, yoksa "kritik görev" mi, Furbies'in son sevkıyatının onu şehre getirmeyeceği anlamına gelir. Bir risk / tehdit değerlendirmesi açıklayan bir şey olsaydı gerçekten yardımcı olurdu.


5
2018-06-03 20:37





Bunun eski bir soru olduğunu biliyorum, ancak kısa bir süre önce açık kaynak kodlu bir web tabanlı çözümle karşılaştım. Kurumsal Kasa Bazıları için ilginç olabilir. Henüz denemek için bir şansım olmadı.


2
2017-12-16 00:31





adında bir program kullanıyoruz Şifre güvenli. güzel ve çok güvenli, veritabanını ağa bağlı bir sürücüde ayarlayabilir ve ona erişim ve şifreye ihtiyacı olan herkese güvenliğin kendisi için şifreleyebilirsiniz. Böylece tüm kullanıcı adlarını ve şifrelerinizi güvenli bir şekilde şifreler.


1
2018-06-03 02:57





Bir kaç şey:

  • Başkalarının söylediği gibi, bu kötü bir fikir. Bir LDAP kullanın, vb.
  • Bunu herhangi bir nedenden dolayı yapmaya kararlıysanız, en azından şifreleri birleştirin. 100 yönetilmeyen şifre, şifreleri güncellemediğiniz anlamına gelir.
  • Onları kağıt üzerinde tut. Bir personelin, bir kağıdın kopyalanıp kopyalanmadığını daha kolay bir şekilde belirlemek için kağıdı farklı bir renk mürekkebinde imzalamasını isteyin.
  • Unix kullanıyorsanız, bir kerelik şifreler oluşturmak için S / KEY tuşunu kullanın. Bunu güvenli bir yerde saklayın.

Ayrıca, kağıt şifrelerini güvenli bir yere koymanın veya şifrelerin şifrelenmesinin mekanik güvenlik önlemlerinin ötesine geçmeniz gerekir. Olgun güvenlik modellerine sahip kurumların anahtarları ve güvenli kombinasyonları nasıl güvenli hale getirdiğini okuyun. Ne yapmak istediğinizi yapmamanızı tavsiye etmiyorum, ama eğer yaparsanız:

  • Şifreleri kullanacak olan kişiler şifrelere erişimi kontrol edemezler. Farklı bir yönetim zinciri altındaki farklı bir grup insanın kasaya, çekmeceye vb. Erişimi kontrol etmesi gerekir. Bir finans grubunuz varsa, aday olabilirler. Belki pazarlama vb.
  • Kasa açıldığında ve birisinin bir parola bulundurması durumunda yazılı bir kayıt olması gerekir.
  • Şifre, kontrol edilmesinden sonraki 24 saat içinde değiştirilmelidir.

Bunun gibi prosedürler boyunda bir acıdır, ancak insanların daha akılcı uygulamaları benimsemeleri için bir teşvik görevi görecektir. Tanımladığım gibi bir şey yapmazsanız, şifreleri kilitleme hareketlerini gözden kaçırmayın, çünkü bir şekilde birgün bir şekilde ihlal edersiniz.


1
2018-06-03 15:06