多个SysAdmin的密码管理系统?

16

我对最佳做法和潜在的开源项目感兴趣,这些最佳做法和潜在的开源项目将使我的组织安全地存储多个密码,并允许多个管理员访问它们。我对允许每个管理员拥有自己的登录名/密钥而不是典型的受密码保护的Excel电子表格的东西感兴趣。;)

最好是可以通过SSL运行的基于Web的应用程序。

我需要它在Mac / Linux环境中运行-请不要使用Windows应用程序。

谢谢!

linux  password 
亚伦·布朗
source
3
dupe:请参阅serverfault.com/questions/10285/…及其他信息
。– Toto
3
我忘了提到我需要一个可以在Linux下运行的解决方案。没有Windows应用,请:)
Aaron Brown
我也有这个问题,我们需要使用来自供应商的许多系统,现在我们使用的是gpg加密文件,但这意味着每个管理员都可以访问每个密码-不好。我想让我为团队中不同人员定义不同站点(密码)的访问列表,无论是CLI,桌面还是Web工具。第三方应用程序的密码管理确实需要详细说明。精心创建一个公共Wiki条目,也许我们可以用更好的方法来解决它的要求
serverhorror
在我看来,目前还没有真正好的解决方案来处理对多个管理员的身份验证,以访问公用密码存储区。那让我震惊。也许我只需要写一个。
亚伦·布朗
1
的确,当您有多个系统管理员时,需要一种方法来控制谁有权访问什么,并删除他们的访问权限而不更改每个键/密码。它还用于审核-谁访问了什么密码以及何时访问。
亚伦·布朗

Answers:

3

我们使用它:http : //sourceforge.net/projects/phppassmanager/(稍作修改/调整)

它安装在具有Active Directory身份验证的HTTPS Web服务器上,以限制我们团队的密码检索。团队的每个成员都知道一个用于加密phppassmanager中存储的所有密码的主密码。他们想添加/修改/读取密码时使用它。密码以加密方式存储在mysql数据库中。

他们有可能访问所有密码,但是每个密码解密都会被记录,并且日志会在主页上显示给整个团队。该系统是自我监控和自我管理的。

2

我使用KeePass,对此我感到非常满意。这是一个易于使用的开源密码管理器。

保罗
source
2
它是Windows,仅允许一次登录。我需要一个多登录解决方案,以便每个系统管理员可以分别登录,这是处理此问题的唯一可管理和安全的方法。令我震惊的是,那里没有大量的产品可以做到这一点。
亚伦·布朗
1
哦,我错了-KeePass已移植到其他平台上
亚伦·布朗
是的,KeePass已明确移植到其他平台。
保罗
0

您使用此系统到底要保护什么?您控制的系统,还是由第三方运行的系统?

对于内部身份验证,像Kerberos,LDAP或什至sudo和PKI之类的系统都可以处理。

对于外部身份验证,请访问软件支持网站,无论您使用哪种系统实现,都在很大程度上受其困扰。诸如KeePass(2.0种可与Mono配合使用)或PasswordGorilla之类的工具可以存储您的密码。我认为它们都不支持多个单独的解密密码。我不确定这在数学上如何工作。

Jldugger
source
LDAP和kerberos是身份验证系统,而不是密码管理系统。我需要一种方法来存储root密码,路由器密码,LDAP Manager密码-系统管理员需要处理的80亿个密码中的任何一个。
亚伦·布朗
是的,是的,它们是身份验证系统。您可以使用它们来实现单一登录,而无需使用hokey excel电子表格。
jldugger
我不确定您是否理解。并非所有内容都可以连接到单个LDAP或kerberos服务器,也不应该。例如,服务器根密码永远不要存储在LDAP中,路由器也不要启用密码。
亚伦·布朗
做对了,您不需要工具来简化对这些密码的访问。是的,如果网络中断,您的系统可能需要一些内部身份验证。但是对于服务器,为什么不只使用sudo和PKI?没有root帐户,清除审核,并且不依赖网络。
jldugger
我们会尽可能地将LDAP和sudo与PAM模块一起使用。还有许多其他帐户需要处理。此外,还需要有关根帐户密码的文档,并且并非所有内容都可以挂接到LDAP系统中。另外,如果LDAP不可用并且我们需要进入系统,则需要使用一些帐户。非常感谢您认为您有更好的方法,但是在可行且可行的情况下,我们已经使用集中式身份验证。仍然有多个系统管理员需要偶尔能够访问密码。
亚伦·布朗
0

就我到目前为止所读的内容而言,任何具有数据库后端(甚至具有文件存储后端,但我更喜欢db)的Wiki系统都应该可以解决您的问题。在用户帐户上设置适当的限制,只有您信任的人(管理员)才能阅读/修改密码列表(以纯HTML文档:))。

将其放在启用SSL的服务器之后,并限制对数据库的访问。

阳光明媚
source
1
如果有一个健壮的审计追踪和报告机制,这样做会很好。当某人离开组织时,我想运行一个报告,向我显示所有必须更改的密码。像受SSL保护的Wiki之类的想法是个不错的主意,但在我看来,它需要有一些特定于密码的架构,以便可以轻松地进行报告。
埃文·安德森
1
@Evan,也许您应该更新您的问题以包括此要求。
Zoredache
1
埃文不是问原始问题的人...
卡米尔·基西尔
0

我在一个非常注重安全性的公司工作,在5人的团队中,我们使用KeePass,因为加密功能强大,它是跨平台的,并且支持将多个数据库导入到您自己的数据库中。我们将其存储在只能通过内部网络通过SSH登录进行系统访问的系统上,该登录要求进行密钥验证(无需密码,谢谢!)。

金伯曼
source
密钥是否加密?
jldugger
公钥是唯一推送到系统的东西。私钥保留在个人的工作站上。
jtimberman
0

我们使用keypass这是一个很酷的软件,您可以按类别组织密码。但是,我不确定是否可以有不同级别的用户登录。

vmdaemon
source
0

我不确定自己是否需要它,但这对我们有用:我们将SVG中包含所有凭据的gpg加密文本文件保存,并使用我们共享的通用密钥进行加密。这种方法代替keepassx或类似工具的主要优点是:1)一个可以在其中放置自由格式的信息,以及2)gpg --decrypt可以发送到管道并在终端中使用。

当然,这仅适用于大约10人的团体,但如果有少量授权,可以扩大一点。另外,我们实际上有两个密钥和两个加密文件用于不同的访问级别,但这并没有太大变化。

哦,我们倾向于尽量避免使用密码(主要是使用个人SSH密钥)。

佩特雷
source
0

我正在寻找完全相同的东西,我发现2个可能符合您的需求。

Web-KeePass-这似乎可以满足需要,但我仍在尝试找出所有选项。

Corporatevault-这是非常基本的阶段,而且处于初期阶段。界面还没有完成,但是我发现很容易弄清楚。

约瑟夫
source
0

我认为sysPass是一个不错的选择。它提供:

  1. 使用AES-256 CBC进行密码加密。
  2. 用户和群组管理
  3. MySQL,OpenLDAP和Active Directory身份验证。
  4. 多语言
  5. 还有更多
CDieck
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.