여러 SysAdmin에 대한 비밀번호 관리 시스템?


16

조직에서 여러 암호를 안전하게 저장하고 여러 관리자가 액세스 할 수있는 모범 사례와 잠재적 인 오픈 소스 프로젝트에 관심이 있습니다. 각 관리자가 일반적인 비밀번호로 보호 된 Excel 스프레드 시트와 비교하여 고유 한 로그인 / 키를 가질 수있는 것에 관심이 있습니다. ;)

SSL을 통해 실행할 수있는 웹 기반 응용 프로그램이 바람직합니다.

Mac / Linux 환경에서 실행하려면 Windows 앱이 필요하지 않습니다.

감사!


3
dupe : serverfault.com/questions/10285/… 등을 참조하십시오 .
Toto

3
나는 리눅스에서 실행될 솔루션이 필요하다는 것을 언급하지 않았다. Windows 앱이 없습니다. :)
Aaron Brown

나도 그 문제가있다, 우리는 공급 업체의 시스템을 사용해야합니다. 지금은 gpg 암호화 파일을 사용하고 있지만 이는 모든 관리자가 모든 암호에 액세스 할 수 있음을 의미합니다. CLI, 데스크톱 또는 웹 도구와 같이 팀의 다른 사람들에게 다른 사이트 (암호)에 대한 액세스 목록을 정의 할 수있는 것을 원합니다. 타사 앱의 비밀번호 관리는 정교화가 필요합니다. 어쩌면 우리가 더 나은 방법에 대한 요구 사항을 해결할 수있는 communiy 위키 항목을 만들려면 케어
serverhorror

일반적인 암호 저장소에 액세스하기 위해 여러 관리자의 인증을 처리 할 수있는 실질적인 해결책이없는 것 같습니다. 그런 종류의 충격에 어쩌면 하나만 써야 할 것입니다.
Aaron Brown

1
정확하게 시스템 관리자가 여러 명인 경우 모든 키 / 암호를 변경하지 않고 액세스 권한을 제거하고 액세스 권한을 가진 사용자를 제어 할 수있는 방법이 필요합니다. 또한 누가 어떤 암호와 언제 액세스했는지 감사합니다.
Aaron Brown

답변:


3

우리는 이것을 사용합니다 : http://sourceforge.net/projects/phppassmanager/ (약간 수정 / 조정)

Google 팀에 비밀번호 검색을 제한하기 위해 Active Directory 인증을 사용하여 HTTPS 웹 서버에 설치됩니다. 팀의 각 구성원은 phppassmanager에 저장된 모든 비밀번호를 암호화하는 데 사용되는 마스터 비밀번호를 알고 있습니다. 암호를 추가 / 수정 / 읽기를 원할 때 사용합니다. 비밀번호는 mysql 데이터베이스에 암호화되어 저장됩니다.

잠재적으로 모든 암호에 액세스 할 수 있지만 각 암호 해독은 loggued되며 로그는 기본 페이지의 전체 팀에 표시됩니다. 이 시스템은 자체 모니터링 및 자체 관리됩니다.


2

나는 KeePass를 사용 하고 매우 기쁘다. 암호 관리자를 사용하기 쉬운 오픈 소스입니다.


2
창이며 단일 로그인 만 허용합니다. 각 sysadmin이 개별적으로 로그인 할 수 있도록 다중 로그인 솔루션이 필요합니다.이를 관리 할 수있는 유일한 유일한 방법입니다. 나는 이것을하는 많은 제품이 없다는 것에 충격을 받았다.
Aaron Brown

1
아, 틀 렸습니다-KeePass는 다른 플랫폼으로 포팅되었습니다
Aaron Brown

예, KeePass는 확실히 다른 플랫폼으로 포팅되었습니다.
Paul

0

이 시스템으로 정확히 무엇을 보호하고 있습니까? 귀하가 제어하는 ​​시스템 또는 제 3자가 운영하는 시스템?

내부 인증의 경우 Kerberos, LDAP 또는 sudo 및 PKI와 같은 시스템이이를 처리 할 수 ​​있습니다.

소프트웨어 지원 웹 사이트에 따르면 외부 인증의 경우 구현하는 시스템에 크게 영향을받습니다. KeePass (2.0 종류는 모노와 함께 작동) 또는 PasswordGorilla와 같은 도구는 암호를 저장할 수 있습니다. 나는 그들 중 하나가 여러 개의 개별 해독 암호 개념을 지원한다고 생각하지 않습니다. 수학적으로 어떻게 작동하는지 잘 모르겠습니다.


LDAP 및 kerberos는 비밀번호 관리 시스템이 아닌 인증 시스템입니다. 시스템 관리자가 저글링해야하는 80 억 개의 비밀번호 중 하나 인 루트 비밀번호, 라우터 비밀번호, LDAP 관리자 비밀번호를 저장하는 방법이 필요합니다.
Aaron Brown

예, 인증 시스템입니다. Hokey Excel 스프레드 시트없이 싱글 사인온을 구현하는 데 사용합니다.
jldugger 2016 년

잘 모르겠습니다. 모든 것을 단일 LDAP 또는 kerberos 서버에 연결할 수는 없으며 그렇게해서는 안됩니다. 예를 들어 서버 루트 비밀번호는 절대 LDAP에 저장하거나 라우터 사용 비밀번호를 사용해서는 안됩니다.
Aaron Brown

올바르게 수행하면 해당 비밀번호에 대한 액세스를 간소화하기위한 도구가 필요하지 않습니다. 예, 네트워크가 다운되면 시스템에 내부 인증이 필요할 수 있습니다. 그러나 서버의 경우 sudo와 PKI를 사용하지 않는 이유는 무엇입니까? 루트 계정이없고 감사가 명확하며 네트워크에 의존하지 않습니다.
jldugger 2016 년

우리 LDAP와 sudo를 가능한 PAM 모듈과 함께 사용합니다. 처리 할 수있는 다른 계정은 여전히 ​​12 가지입니다. 또한 루트 계정 비밀번호에 대한 문서가 있어야하며 모든 것을 LDAP 시스템에 연결할 수있는 것은 아닙니다. 또한 LDAP를 사용할 수없고 시스템에 들어가야 할 경우에 필요한 계정이 있습니다. 더 나은 방법이 있다고 생각하지만, 실용적이고 가능한 중앙 집중식 인증을 이미 사용하고 있습니다. 때때로 암호에 액세스 할 수 있어야하는 여러 시스템 관리자가 여전히 있습니다.
Aaron Brown

0

지금까지 읽은 내용에 대해 데이터베이스 백엔드가있는 위키 시스템 (파일 저장소 백엔드가 있지만 DB를 선호합니다)이 문제를 해결해야합니다. 사용자 계정에 대한 적절한 제한을 설정하고 신뢰하는 사람 (관리자) 만 암호 목록을 읽고 / 수정할 수 있습니다 (일반 html doc :).

SSL 사용 가능 서버 뒤에두고 데이터베이스에 대한 액세스를 제한하십시오.


1
강력한 감사 추적 및보고 메커니즘이있는 경우에는 문제가 없습니다. 누군가 조직을 떠날 때 변경해야 할 모든 암호를 보여주는 보고서를 실행하고 싶습니다. SSL로 보호되는 Wiki와 같은 것은 좋은 생각이지만, 쉽게보고 할 수 있도록 약간의 암호 관련 스키마가 필요합니다.
Evan Anderson

1
@Evan, 아마도이 요구 사항을 포함하도록 질문을 업데이트해야합니다.
Zoredache 2016 년

1
에반은 원래 질문을 한 사람이 아니 었습니다 ...
Kamil Kisiel

0

PowerBroker 는 공유 계정에 대한 액세스를 제어 / 감사하도록 특별히 설계된 공급 업체 제품입니다. 그러나 상당한 호스트 당 라이센스 비용이 있습니다.


0

나는 매우 보안을 중요시하는 회사에서 근무했으며 5 명으로 구성된 팀에서 KeePass 를 사용 했습니다. 암호화가 강력하고, 플랫폼 간이며 여러 데이터베이스를 자신의 데이터베이스로 가져올 수 있도록 지원하기 때문입니다. 키 인증이 필요한 SSH 로그인 (비밀번호 없음)을 통해 내부 네트워크를 통해서만 액세스 할 수있는 시스템에 저장했습니다.


키가 암호화되어 있습니까?
jldugger 2016 년

시스템에 공개 된 것은 공개 키뿐이었습니다. 개인 키는 개인의 워크 스테이션에 남아있었습니다.
jtimberman 2016 년

0

우리는 사용 keypass를 합니다 그것은 매우 멋진 소프트웨어입니다, 당신은 카테고리별로 암호를 구성 할 수 있습니다. 그러나 다른 수준의 사용자가 로그온 할 수 있는지 잘 모르겠습니다.


0

나는 그것이 당신이 필요한 것이 확실하지는 않지만 우리를 위해 작동합니다 : 우리는 SVN에 모든 자격 증명이있는 gpg 암호화 텍스트 파일을 우리가 공유하는 공통 키로 암호화합니다. keepassx 또는 이와 유사한 도구 대신이 방법의 주요 장점은 1) 자유 형식 정보를 저장할 수 있고 2) gpg-암호 해독을 파이프로 보내 터미널에 사용할 수 있다는 것입니다.

물론, 이것은 ~ 10 명 그룹에게만 적용되지만 약간의 위임으로 약간 확장 될 수 있습니다. 또한 실제로 액세스 수준에 따라 두 개의 키와 두 개의 암호화 된 파일이 있지만 크게 변경되지는 않습니다.

아, 우리는 가능한 한 많은 암호를 처리하지 않는 경향이 있습니다 (주로 개인 SSH 키를 사용함).


0

나는 똑같은 것을 찾고 있는데, 당신의 필요에 맞는 2 것을 발견했습니다.

Web-KeePass- 필요한 작업을 수행하는 것처럼 보이지만 여전히 모든 옵션을 찾으려고 노력하고 있습니다.

corporatevault- 매우 기본적이고 초기 단계입니다. 인터페이스는 끝나지 않았지만 알아내는 것이 쉽다는 것을 알았습니다.


0

sysPass 가 좋은 선택 이라고 생각 합니다. 다음을 제공합니다.

  1. AES-256 CBC를 사용한 비밀번호 암호화.
  2. 사용자 및 그룹 관리
  3. MySQL, OpenLDAP 및 Active Directory 인증
  4. 다국어
  5. 그리고 훨씬 더

0

갑상선 비밀 서버.

우리 회사에서 여러 해 동안 이것을 사용해 왔습니다. 자동으로 비밀번호 변경, 특정 비밀번호에 액세스 할 때 전송되는 이메일 등과 같은 다양한 기능이 있습니다.

또한 정기적 인 업데이트 및 기능 추가를 제공합니다.

https://thycotic.com/products/secret-server/

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.