Système de gestion de mot de passe pour plusieurs administrateurs système?


16

Je suis intéressé par les meilleures pratiques et les projets open source potentiels qui permettraient à mon organisation de stocker en toute sécurité plusieurs mots de passe et à plusieurs administrateurs d'y accéder. Je suis intéressé par quelque chose qui permettrait à chaque administrateur d'avoir sa propre connexion / clé par rapport à la feuille de calcul Excel protégée par mot de passe typique. ;)

De préférence, une application Web que je peux exécuter sur SSL.

J'en ai besoin pour fonctionner dans un environnement Mac / Linux - pas d'applications Windows, s'il vous plaît.

Merci!


3
dupe: voir serverfault.com/questions/10285/… et autres ..
Toto

3
J'ai oublié de mentionner que j'ai besoin d'une solution qui fonctionnera sous Linux. Pas d'applications Windows, s'il vous plaît :)
Aaron Brown

Moi aussi, j'ai ce problème, nous avons un certain nombre de systèmes que nous devons utiliser qui proviennent de nos fournisseurs, en ce moment, nous utilisons un fichier crypté gpg, mais cela signifie que chaque administrateur a accès à chaque mot de passe - pas bon. Je préfère quelque chose qui me permette de définir des listes d'accès pour différents sites (mots de passe) à différentes personnes de notre équipe, que ce soit un CLI, un ordinateur de bureau ou un outil Web. La gestion des mots de passe pour les applications tierces est quelque chose qui a vraiment besoin d'être développé. Souciez-vous de créer une entrée wiki communautaire, nous pourrons peut-être mieux déterminer les conditions requises
serverhorror

Il me semble qu'il n'y a pas vraiment de bonne solution pour gérer l'authentification de plusieurs administrateurs pour accéder à un magasin commun de mots de passe. Ce genre de choc me choque. Je devrai peut-être juste en écrire un.
Aaron Brown

1
Exactement, lorsque vous avez plusieurs administrateurs système, il doit y avoir un moyen de contrôler qui a accès à quoi et de supprimer leur accès sans changer chaque clé / mot de passe. C'est aussi pour l'audit - qui a accédé à quel mot de passe et quand.
Aaron Brown

Réponses:


3

Nous utilisons ceci: http://sourceforge.net/projects/phppassmanager/ (un peu modifié / réglé)

Il est installé sur un serveur Web HTTPS avec authentification Active Directory pour limiter la récupération de mot de passe à notre équipe. Chaque membre de l'équipe connaît un mot de passe principal utilisé pour crypter tous les mots de passe stockés dans phppassmanager. Ils l'utilisent lorsqu'ils veulent ajouter / modifier / lire un mot de passe. Les mots de passe sont stockés cryptés dans une base de données mysql.

Ils ont potentiellement accès à tous les mots de passe, mais chaque déchiffrement de mot de passe est enregistré et les journaux sont affichés à toute l'équipe sur la page principale. Ce système est auto-contrôlé et auto-géré.


2

J'utilise KeePass et j'en suis très content. C'est un gestionnaire de mots de passe open source facile à utiliser.


2
C'est Windows et ne permet qu'une seule connexion. J'ai besoin d'une solution de connexion multiple pour que chaque administrateur système puisse se connecter séparément, ce qui est le seul moyen gérable et sécurisé de gérer cela. Je suis choqué qu'il n'y ait pas des tonnes de produits qui font ça.
Aaron Brown

1
Oh, je me trompe - KeePass a été porté sur d'autres plateformes
Aaron Brown

oui, KeePass a été définitivement porté sur d'autres plateformes.
Paul

0

Que protégez-vous exactement avec ce système? Des systèmes que vous contrôlez ou des systèmes gérés par des tiers?

Pour l'authentification interne, des systèmes comme Kerberos, LDAP ou même simplement sudo et PKI peuvent gérer cela.

Pour l'authentification externe, par exemple sur un site Web de support logiciel, vous êtes largement paralysé par le système qu'ils implémentent. Des outils comme KeePass (2.0 fonctionne un peu en mono) ou PasswordGorilla peuvent stocker vos mots de passe. Je ne pense pas que l'un ou l'autre prenne en charge la notion de plusieurs mots de passe de déchiffrement séparés; Je ne sais pas comment cela pourrait fonctionner mathématiquement.


LDAP et kerberos sont des systèmes d'authentification, pas des systèmes de gestion de mot de passe. J'ai besoin d'un moyen de stocker les mots de passe root, les mots de passe du routeur, les mots de passe du gestionnaire LDAP - l'un des 8 milliards de mots de passe qu'un administrateur système doit jongler.
Aaron Brown

Oui, oui, ce sont des systèmes d'authentification. Vous les utilisez pour implémenter l'authentification unique sans la feuille de calcul hokey excel.
jldugger

Je ne suis pas sûr que tu comprennes. Tout ne peut pas être connecté à un seul serveur LDAP ou Kerberos, et il ne devrait pas non plus l'être. Les mots de passe racine du serveur, par exemple, ne doivent jamais être stockés dans LDAP, ni le routeur activer les mots de passe.
Aaron Brown

Faites-le bien et vous n'avez pas besoin d'un outil pour rationaliser l'accès à ces mots de passe. Oui, si le réseau est en panne, vos systèmes ont probablement besoin d'une authentification interne. Mais dans le cas des serveurs, pourquoi ne pas simplement utiliser sudo et PKI? Aucun compte root, audit clair et non dépendant du réseau.
jldugger

Nous faisons usage LDAP et SUDO avec un module PAM où nous pouvons. Il reste encore une dizaine de comptes à traiter. De plus, il doit y avoir une documentation des mots de passe du compte root, et tout ne peut pas être connecté à un système LDAP. Il existe également des comptes qui doivent être présents dans le cas où LDAP n'est pas disponible et nous devons accéder aux systèmes. J'apprécie que vous pensiez avoir une meilleure solution, mais nous utilisons déjà l'authentification centralisée là où elle est pratique et possible. Il existe encore plusieurs administrateurs système qui doivent pouvoir accéder occasionnellement aux mots de passe.
Aaron Brown

0

Pour ce que j'ai lu jusqu'à présent, tout système wiki avec un backend de base de données (même avec un backend de magasin de fichiers, mais je préférerais db) devrait résoudre votre problème. Définir des restrictions appropriées sur les comptes d'utilisateurs, et seules les personnes de confiance (administrateurs) pourront lire / modifier les listes de mots de passe (dans un simple document html :)).

Mettez-le derrière le serveur compatible SSL et limitez l'accès à la base de données.


1
Cela ferait l'affaire s'il y avait une piste d'audit et un mécanisme de rapport solides. lorsque quelqu'un quitte l'organisation, je veux générer un rapport qui me montre tous les mots de passe qui doivent être modifiés. Quelque chose comme un wiki protégé par SSL est une bonne idée, mais il doit avoir un peu d'un schéma spécifique au mot de passe, à mon avis, afin qu'il puisse facilement faciliter les rapports.
Evan Anderson

1
@Evan, vous devriez peut-être mettre à jour votre question pour inclure cette exigence.
Zoredache

1
Evan n'était pas celui qui posait la question d'origine ...
Kamil Kisiel

0

PowerBroker est un produit de fournisseur conçu spécifiquement pour contrôler / auditer l'accès aux comptes partagés; cependant, le coût de la licence par hôte est important.


0

J'ai travaillé dans une entreprise très soucieuse de la sécurité, et sur mon équipe de 5 personnes, nous avons utilisé KeePass , car le cryptage est solide, il est multiplateforme et prend en charge l'importation de plusieurs bases de données dans la vôtre. Nous l'avons stocké sur un système qui n'était accessible que via le réseau interne via des connexions SSH qui nécessitaient une authentification par clé (pas de mot de passe, merci!).


Les clés sont-elles cryptées?
jldugger

La clé publique était la seule chose transmise aux systèmes. Les clés privées sont restées sur les postes de travail individuels.
jtimberman

0

Nous utilisons le clavier C'est un logiciel assez cool, vous pouvez organiser les mots de passe par catégorie. Cependant, je ne sais pas si vous pouvez avoir différents niveaux d'utilisateurs pour vous connecter.


0

Je ne suis pas exactement sûr de ce dont vous avez besoin, mais cela fonctionne pour nous: nous conservons dans notre SVN un fichier texte crypté en gpg avec toutes les informations d'identification, crypté avec une clé commune que nous partageons tous. Les principaux avantages de cette approche au lieu de keepassx ou d'outils similaires sont: 1) on peut y mettre des informations de forme libre et 2) gpg --decrypt peut être envoyé à un pipe et utilisé dans un terminal.

Bien sûr, cela ne fonctionne que pour un groupe de ~ 10 personnes, mais avec un peu de délégation peut être un peu élargi. De plus, nous avons en fait deux clés et deux fichiers cryptés pour différents niveaux d'accès, mais cela ne change pas grand-chose.

Oh, et nous avons tendance à éviter autant que possible de gérer les mots de passe (principalement avec des clés SSH personnelles).


0

Je cherche exactement la même chose, et j'en ai trouvé 2 qui pourraient répondre à vos besoins.

Web-KeePass - Cela semble faire ce qui est nécessaire, mais j'essaie toujours de trouver toutes les options.

corporatevault - Il est très basique et à ses débuts. L'interface n'est pas terminée, mais je l'ai trouvée assez facile à comprendre.


0

Je pense que sysPass est un bon choix. CA offre:

  1. Cryptage du mot de passe avec AES-256 CBC.
  2. Gestion des utilisateurs et des groupes
  3. Authentification MySQL, OpenLDAP et Active Directory.
  4. Multilanguag
  5. et bien plus

0

Serveur secret thycotique.

Nous l'utilisons depuis de nombreuses années dans mon entreprise. Il possède de nombreuses fonctionnalités intéressantes telles que le changement automatique des mots de passe, les e-mails envoyés lors de l'accès à certains mots de passe, etc.

Ils fournissent également des mises à jour régulières et ajoutent des fonctionnalités.

https://thycotic.com/products/secret-server/

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.