我有一些软件使用自己的encryption文件进行密码存储(如ftp,web等密码login到外部系统,无法使用证书)。
在每个服务器上我都有这个软件的几个实例,每个实例都有自己的密码文件。
目前,服务器的数量正在不断增长,越来越难以pipe理所有实例上的所有密码。
不幸的是,一些服务器处于分散的networking中,并且没有从它们访问某些集中式存储器,但反之亦然。
我的第一个想法是创build一个git仓库,使用gpgencryption每个密码,并将其存储在那里并在部署系统中交付,但是安全团队对这个想法并不满意,并且即使在encryption视图中存储仓库密码也是不安全的从他们的话)。
我的脑海里没有任何类似的东西 是否有任何方法来实现安全和安全的密码存储,尽量pipe理所有密码是最新的?
PS。 如果那件事我到处都是红帽子。
你可以看看FreeIPA ,它使用LDAP和Kerberos来validation用户。 这是一个相当完整和庞大的系统,但它确实有效。
以下是维基百科撰写的一些内容:
FreeIPA是红帽赞助的开源项目,旨在提供一个易于pipe理的身份,策略和审计(IPA)套件,主要针对Linux和Unix计算机的networking。 FreeIPA可以与Novell的Identity Manager或Microsoft的Active Directory进行比较,因为所使用的目标和机制是相似的。
虽然这可能是一个非答案,也许你可以分裂的差异。 在最大的networking或主副本(也许是最新的更新)上,将文件放在共享存储上。 这至less可以解决你的一个networking域。
这听起来像你可以推到networking上,但不能交叉安装(???)。 这有点奇怪,我希望networking在物理上是独特的,除非你参考某种软件部署。 如果您有防火墙解决scheme,则可以设置由客户端主机装入的中央存储,并确保它是通过导出规则可以访问的唯一卷。
否则,运行复制计划。 根据交叉同步涉及多less手动工作,也许你应该设置一个类似的复制。 让您的用户知道密码只会在主系统上经常更改,然后覆盖其他系统。
如果您需要同时在多个节点上有东西,可以从所有节点写入,并且可以从所有节点读取,并且无需访问中央存储系统,则应该查看一下ceph( http://ceph.com) / )。 Ceph是一个分布式对象存储,它提供了一个文件系统,用于由不能适应的应用程序进行标准访问。
如果Ceph作为分布式文件系统不是你的解决scheme,不pipe什么原因,你可以看看Linux中的其他一些分布式文件系统。
http://en.wikipedia.org/wiki/List_of_file_systems#Distributed_file_systems