Sistema de gestión de contraseñas para varios administradores de sistemas

16

Me interesan las mejores prácticas y los posibles proyectos de código abierto que permitirían a mi organización almacenar de forma segura varias contraseñas y permitir que múltiples administradores accedan a ellas. Estoy interesado en algo que permita a cada administrador tener su propio inicio de sesión / clave frente a la típica hoja de cálculo Excel protegida por contraseña. ;)

Sería preferible una aplicación basada en web que pueda ejecutar sobre SSL.

Necesito que se ejecute en un entorno Mac / Linux: no hay aplicaciones de Windows, por favor.

¡Gracias!

linux password Aaron Brown
fuente
3
engañado : vea serverfault.com/questions/10285/… y otros ..
Toto
3
Olvidé mencionar que necesito una solución que se ejecute en Linux. No hay aplicaciones de Windows, por favor :)
Aaron Brown
Yo también tengo ese problema, tenemos un par de sistemas que necesitamos usar que son de nuestros proveedores, en este momento estamos usando un archivo cifrado gpg, pero eso significa que cada administrador tiene acceso a cada contraseña, lo cual no es bueno. Prefiero algo que me permita definir listas de acceso para diferentes sitios (contraseñas) para diferentes personas en nuestro equipo, ya sea una herramienta CLI, de escritorio o web. La administración de contraseñas para aplicaciones de terceros es algo que realmente necesita elaboración. Cuidado para crear una entrada wiki comunitaria tal vez podamos resolver los requisitos para ello de una mejor manera
serverhorror
Me parece que no existe una solución realmente buena para manejar la autenticación de múltiples administradores para acceder a un almacén común de contraseñas. Eso me sorprende. Tal vez solo tenga que escribir uno.
Aaron Brown
1
Exactamente, cuando tiene varios administradores de sistemas, debe haber una forma de controlar quién tiene acceso a qué, así como eliminar su acceso sin cambiar cada clave / contraseña. También es para auditar: quién accedió a qué contraseña y cuándo.
Aaron Brown

Respuestas:

3

Usamos esto: http://sourceforge.net/projects/phppassmanager/ (un poco modificado / ajustado)

Se instala en un servidor web HTTPS con autenticación de Active Directory para restringir la recuperación de contraseña a nuestro equipo. Cada miembro del equipo conoce una contraseña maestra utilizada para cifrar todas las contraseñas almacenadas en phppassmanager. Lo usan cuando quieren agregar / modificar / leer una contraseña. Las contraseñas se almacenan encriptadas en una base de datos mysql.

Potencialmente tienen acceso a todas las contraseñas, pero cada descifrado de contraseña se registra y los registros se muestran a todo el equipo en la página principal. Este sistema es autocontrolado y autogestionado.


fuente
2

Uso KeePass y estoy muy contento con él. Es un administrador de contraseñas de código abierto fácil de usar.

Pablo
fuente
2
Es windows y solo permite un inicio de sesión único. Necesito una solución de inicio de sesión múltiple para que cada administrador del sistema pueda iniciar sesión por separado, que es la única forma segura y manejable de manejar esto. Me sorprende que no haya toneladas de productos que hagan esto.
Aaron Brown
1
Oh, estoy equivocado - KeePass ha sido portado a otras plataformas
Aaron Brown
Sí, KeePass se ha portado definitivamente a otras plataformas.
Paul
0

¿Qué estás protegiendo exactamente con este sistema? ¿Sistemas que controlas o sistemas gestionados por terceros?

Para la autenticación interna, los sistemas como Kerberos, LDAP o incluso solo sudo y PKI pueden manejar esto.

Para la autenticación externa, digamos a un sitio web de soporte de software, estás en gran medida afectado por cualquier sistema que implementen. Herramientas como KeePass (2.0 funciona un poco con mono) o PasswordGorilla pueden almacenar sus contraseñas. No creo que ninguno de ellos admita ninguna noción de múltiples contraseñas de descifrado separadas; No estoy seguro de cómo eso podría funcionar matemáticamente.

jldugger
fuente
LDAP y kerberos son sistemas de autenticación, no sistemas de administración de contraseñas. Necesito una forma de almacenar contraseñas raíz, contraseñas de enrutador, contraseñas de administrador LDAP: cualquiera de los 8 mil millones de contraseñas que un administrador de sistemas necesita hacer malabares.
Aaron Brown
Sí, sí, son sistemas de autenticación. Los usa para implementar el inicio de sesión único sin la hoja de cálculo de Excel.
jldugger
No estoy seguro de que lo entiendas. No todo se puede conectar a un único servidor LDAP o kerberos, ni debería hacerlo. Las contraseñas raíz del servidor, por ejemplo, nunca deben almacenarse en LDAP, ni el enrutador debe habilitar las contraseñas.
Aaron Brown
Hazlo bien y no necesitas una herramienta para agilizar el acceso a esas contraseñas. Sí, si la red está inactiva, es probable que sus sistemas necesiten alguna autenticación interna. Pero en el caso de los servidores, ¿por qué no solo usar sudo y PKI? Sin cuenta raíz, auditoría clara, y no depende de la red.
jldugger
Nosotros hacemos uso de LDAP y sudo con un módulo PAM en lo que podamos. Todavía hay una docena de otras cuentas con las que lidiar. Además, debe haber documentación de las contraseñas de la cuenta raíz, y no todo se puede conectar a un sistema LDAP. También hay cuentas que deben estar disponibles en caso de que LDAP no esté disponible y necesitemos ingresar a los sistemas. Le agradezco que piense que tiene una mejor manera, pero ya usamos autenticación centralizada donde es práctico y posible. Todavía hay varios administradores de sistemas que necesitan poder acceder a las contraseñas ocasionalmente.
Aaron Brown
0

Por lo que he leído hasta ahora, cualquier sistema wiki con backend de base de datos (incluso con backend de almacén de archivos, pero preferiría db) debería resolver su problema. Si establece las restricciones adecuadas en las cuentas de usuario, solo las personas en las que confíe (administradores) podrán leer / modificar las listas de contraseñas (en un simple documento html :)).

Póngalo detrás del servidor habilitado para SSL y restrinja el acceso a la base de datos.

Soleado
fuente
1
Esto funcionaría bien si hubiera una pista de auditoría sólida y un mecanismo de informes. Cuando alguien abandona la organización, quiero ejecutar un informe que me muestre todas las contraseñas que deben cambiarse. Algo así como una wiki protegida con SSL es una buena idea, pero en mi opinión, debe tener un esquema específico de contraseña, para que pueda facilitar fácilmente la presentación de informes.
Evan Anderson
1
@Evan, tal vez deberías actualizar tu pregunta para incluir este requisito.
Zoredache
1
Evan no era el que hace la pregunta original ...
Kamil Kisiel
0

PowerBroker es un producto de proveedor diseñado específicamente para controlar / auditar el acceso a cuentas compartidas; sin embargo, hay un costo significativo de licencia por host.

Murali Suriar
fuente
0

Trabajé en una empresa muy preocupada por la seguridad, y en mi equipo de 5 usamos KeePass , porque el cifrado es fuerte, es multiplataforma y admite la importación de múltiples bases de datos en la suya. Lo almacenamos en un sistema al que solo se podía acceder a través de la red interna a través de inicios de sesión SSH que requerían autenticación de clave (¡sin contraseñas, gracias!).

jtimberman
fuente
¿Están encriptadas las claves?
jldugger
La clave pública fue lo único que se envió a los sistemas. Las claves privadas permanecieron en las estaciones de trabajo individuales.
jtimberman
0

Usamos keypass. Es un software bastante bueno, puede organizar las contraseñas por categoría. Sin embargo, no estoy seguro si puede tener diferentes niveles de usuarios para iniciar sesión.

vmdaemon
fuente
0

No estoy exactamente seguro de que sea lo que necesita, pero esto funciona para nosotros: guardamos en nuestro SVN un archivo de texto cifrado con gpg con todas las credenciales, cifrado con una clave común que todos compartimos. Las principales ventajas de este enfoque en lugar de keepassx o herramientas similares son: 1) uno puede poner información de forma libre allí y 2) gpg --decrypt puede enviarse a una tubería y usarse en una terminal.

Claro, esto solo funciona para un grupo de ~ 10 personas, pero con un poco de delegación se puede ampliar un poco. Además, en realidad tenemos dos claves y dos archivos cifrados para diferentes niveles de acceso, pero esto no cambia mucho.

Ah, y tendemos a evitar el manejo de contraseñas tanto como sea posible (principalmente con claves SSH personales).

rpetre
fuente
0

Estoy buscando exactamente lo mismo, y encontré 2 que podrían ajustarse a sus necesidades.

Web-KeePass : parece que haría lo que se necesita, pero todavía estoy tratando de descubrir todas las opciones.

Corporatevault : es muy básico y se encuentra en las primeras etapas. La interfaz no está terminada, pero me resultó bastante fácil de entender.

José
fuente
0

Creo que sysPass es una buena opción. Ofrece:

  1. Cifrado de contraseña con AES-256 CBC.
  2. Gestión de usuarios y grupos.
  3. Autenticación MySQL, OpenLDAP y Active Directory.
  4. Multilenguaje
  5. y mucho más
CDieck
fuente
0

Servidor Secreto Thicotic.

Hemos estado usando esto durante muchos años en mi empresa. Tiene muchas características geniales, como el cambio automático de contraseñas, correos electrónicos enviados cuando se accede a ciertas contraseñas, etc.

También proporcionan actualizaciones periódicas y agregan funciones.

https://thycotic.com/products/secret-server/

adivis12
fuente