수천 대의 서버에서 루트 암호를 관리하는 가장 좋은 솔루션은 무엇입니까


12

저는 시스템 관리자입니다. 프로덕션 환경에서는 수천 대의 서버를 관리해야합니다. 동료와 저는 중앙 관리 서버를 사용하고 다른 서버를 통해 공개 키를 배포합니다. 따라서이 관리 서버를 사용하여 다른 서버로 ssh 할 수 있습니다.

서버가 다운 된 경우와 같이 루트 암호를 사용해야하는 경우가 있으며, 이유를 확인하려면 iLO를 사용해야합니다.

현재 공유 루트 비밀번호를 사용하고 있습니다. 안전하지 않습니다. 또한 OPIE(One-time Passwords In Everything) 과 같은 단일 서버 솔루션을 살펴 보았지만 서버 가 너무 많기 때문에 이것은 좋은 생각이 아닙니다.

편집하다:

암호 관리 솔루션에서 원하는 것은 다음과 같습니다.

  1. 안전해야하므로 일회용 암호는 훌륭한 솔루션입니다.
  2. 암호를 쉽게 입력 할 수 있습니다. 때로는 서버에 모니터를 연결하거나 위에서 언급 한대로 iLO를 사용해야합니다.
  3. 솔루션은 서버가 오프라인 상태 일 때도 작동해야합니다 (네트워크 연결없이).

따라서 루트 암호를 길고 무작위 문자열로 설정하는 것은 좋지 않습니다 (예 :와 같은 일부 알려진 명령에서 생성됨 openssl passwd). 기억하기 어렵고 때로는 생성하기가 어렵습니다 (노트북없이)


1
꼭두각시와 같은 구성 관리 시스템을 이미 사용하고 있습니까? 무엇을 사용하고 있습니까?
Zoredache

꼭두각시 ++.
Tom O'Connor

우리는 cfengine :-)를 사용합니다
yegle

답변:


5

Puppet 을 사용 하여 모든 서버에 암호 변경을 적용 할 수 있습니다. 다음 과 같이 유형을root 사용하여 정의 합니다 .user

    user { 'root':
            ensure => present,
            password => '$1$blablah$blahblahblahblah',
    }

암호화 된 비밀번호를 생성하려면 다음을 수행하십시오.

openssl passwd -1 -salt "blah"

아마도 매달 변경하는 것이 좋습니다. 아마도 SA가 기억하는 체계를 사용하고있을 것입니다. 안전한 방법으로 배포하거나 안전하게 보관할 수도 있습니다.


3

항상 비활성화 된 비밀번호를 설정할 수 있습니다. 이렇게하면 루트에 대한 모든 네트워크 액세스가 차단되고 단일 사용자 모드로 부팅하면 대부분의 배포가 셸로 바로 부팅됩니다.

생각보다 보안 문제가 크지 않을 수도 있습니다. 어쨌든 루트 암호를 우회하는 것은 사소한 일입니다. 암호로 암호를 잠그지 않는 한, 거의 누구나 grub에게 initrd 대신 bash를 시작하도록 지시 할 수 있습니다.

물론 이것은 대신 부트 로더를 암호로 보호하는 방법을 알아 내야 함을 의미합니다.


0

중앙 관리에서 일회용 암호를 사용할 수 있습니다. 나는 이것이 "eth가 오프라인이고 iLO로 서버에 액세스 할 때 작동해야한다"는 것과 맞지 않다는 것을 안다.

어쨌든 : 문제는 서버가 얼마나 자주 오프라인 상태인지입니다.

따라서 다음 설정을 생각할 수 있습니다.

privacyidea ( http://www.privacyidea.org ) 와 같이 중앙에서 관리되는 OTP 솔루션을 사용하십시오 . 루트 사용자에게 여러 가지 다른 OTP 토큰을 할당 할 수 있습니다. 각 토큰에는 다른 OTP PIN이 있으며 다른 장치입니다. 따라서 모든 동료가 사용자 루트로 로그인 할 수 있지만 감사 로그에는 인증 된 토큰이 표시되므로 어느 동료가 언제 로그인했는지 알 수 있습니다.

서버에서 인증 요청을 RADIUS 및 privacyIDEA에 전달하도록 pam_radius를 구성해야합니다.

버머. 이제 서버가 오프라인 상태가됩니다. 이 경우 pam 스택으로 게임해야합니다. 나는 다음과 같은 것을 생각할 수 있었다 :

auth sufficient pam_unix.so
auth required pam_radius.so use_first_pass

오프라인에서 고정 암호로 로그인 할 수 있도록 암호가 pam_radius로 전달되고 privacyIDEA에 대해 OTP로 검증됩니다.

이 하우투 https://www.howtoforge.com/manage-two-factor-authentication-in-your-serverfarm-with-privacyidea를 참조하십시오 .

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.