В нашей администрации каждый пользователь имеет пароли для всех клиентских серверов. Но что нам делать, если один из членов команды больше не работает с нами? У него все еще есть пароли, и мы должны изменить их все, каждый раз, когда кто-то покидает нас.
Теперь мы используем ключи ssh вместо паролей, но это не полезно, если мы должны использовать что-то другое, кроме ssh.
В системах, которые я запускаю, есть sudo - только политика. то есть пароль root * (отключен), и люди должны использовать sudo для получения доступа root. Затем вы можете отредактировать файл sudoers, чтобы предоставить/отменить доступ людей. Он очень гранулированный и имеет большую конфигурацию, но имеет разумные значения по умолчанию, поэтому вам не потребуется много времени.
Обычно я предлагаю следующее:
Теперь, с этим параметром, все пользователи должны использовать sudo для удаленного администратора, но когда система серьезно запуталась, нет никакой охоты на пароль root для разблокировки консоли.
EDIT: другие средства администрирования системы, которые предоставляют свои собственные логины, также нуждаются в настройке.
Хотя рекомендуется использовать только политику sudo, например, предложенную Крисом в зависимости от размера вашей системы, также может оказаться полезным подход ldap. Мы дополняем это файлом, содержащим все корневые пароли, но корневые пароли действительно долговечны и невосприимчивы. Хотя это может считаться недостатком безопасности, он позволяет нам войти в систему, если сервер ldap не работает.
Помимо политики sudo, которая, вероятно, лучше, нет причин, почему у каждого администратора не было собственной учетной записи с UID 0, но по-разному, с другим паролем и даже с другим домашним каталогом. Просто удалите свою учетную запись, когда они уйдут.
Мы просто упростили изменение корневых паролей на каждой машине, которую мы администрируем, поэтому, когда люди ушли, мы просто запустили script. Я знаю, что не очень сообразительный, но он сработал. До моего времени у всех в компании был доступ к root на всех серверах. к счастью, мы отошли от этого.
Вообще говоря, если кто-то покинет нашу команду, мы не будем менять пароли root. Либо они покинули компанию (и больше не имеют доступа к машинам, поскольку их VPN был отозван, так как имеет свой значок доступа к зданию и их беспроводной доступ к сети), либо они находятся в другом отделе внутри компании и иметь профессионализм, чтобы не вкручивать окружающую среду.
Это дыра в безопасности? Может быть. Но, действительно, если бы они хотели вкрутить нашу окружающую среду, они бы сделали это до перехода.
Пока кто-либо покидает команду, которая хочет получить доступ к нашим машинам снова, всегда спрашивала разрешения, даже если они могли бы без разрешения. Я не вижу никаких оснований препятствовать нашей способности выполнять работу, т.е. Нет оснований полагать, что кто-либо еще движется вперед и вверх, будет по-другому.
Достаточно сильный пароль root. Разные на каждой коробке. Нет удаленных корневых входов и паролей для входа в систему, только ключи.
Если у вас есть доступ к ssh через ваши сертификаты, вы не можете войти в систему через ssh и изменить пароль root через passwd или sudo passwd, когда вам нужно сделать что-то еще, требующее пароль?
Мы используем только политику sudo, где я работаю, но корневые пароли по-прежнему сохраняются. Коренные пароли доступны только нескольким сотрудникам. У нас есть программа под названием Password Manager Pro, которая хранит все наши пароли и может также предоставлять проверки паролей. Это позволяет нам вернуться и посмотреть, какие пароли были доступны пользователям. Таким образом, мы можем изменять только пароли, которые необходимо изменить.
Клавиши SSH не имеют реальной альтернативы.
Для управления многими файлами authorized_keys на многих серверах вам необходимо реализовать собственное решение, если вы не хотите, чтобы один и тот же файл на каждом сервере. Либо через собственный инструмент, либо с помощью какого-либо решения по управлению конфигурацией, такого как марионетка, или что-то в этом роде.
Еще один цикл for в bash или какое-то действие clush будет достаточным.
Все, кроме SSH-серверов:
Для запуска служб, основанных на логинах, используйте некоторую аутентификацию с центральным бэкэндом. Имейте в виду, что никто не будет работать, если этот бэкэнд недоступен!
Запустите службу кластеризации. Не делайте хаки с помощью бэкдор-учетной записи супер-пупера, чтобы всегда иметь доступ, если что-то ломается (например, доступ администратора недоступен из-за неправильной конфигурации). Независимо от того, насколько вы контролируете доступ или изменения конфигурации, влияющие на эту учетную запись, это "просто плохо" (TM).
Вместо того, чтобы получить этот бэкдор вправо, вы можете просто скомпилировать приложение или, по крайней мере, иметь запасную систему, периодически отражающую настройку под рукой, если главный ящик умирает, что затем можно легко активировать с помощью изменений маршрутизации в сеть. Если это звучит слишком сложно, ваш бизнес слишком мал, и вы можете жить с перерывом в течение полудня до двух дней. Или вы действительно ненавидите кластеры из-за недостатка знаний и просто экономить на неправильных вещах.
В целом. Если вы используете программное обеспечение, недоступное для какой-либо интеграции Active Directory или LDAP, вам нужно перепрыгнуть акулу и сменить пароли для этого вручную.
Также выделена специальная база данных управления паролями, доступ к которой может быть доступна только очень немногим, и доступна только для чтения всем остальным. Не мешайте файлам excel, они не имеют надлежащего управления правами. Работа с управлением версиями на .csv файлах на самом деле не разрезает ее после определенного нарушения.