这与密码最佳实践有关,但更具体。
你是否对组织中的所有服务器使用相同的root密码? 对于一类设备?
我想说“是的,到处都是”,但在某些情况下仍然是“不”。 我公司正在使用密码安全pipe理为我们的客户密码,创build“保险柜”在每个客户的基础上。 许多客户为根,本地pipe理员,设备等提供了唯一的随机分配的密码。不幸的是,有些(无论是由于以前的供应商完成的工作,还是由我们懒惰)可能有相同的密码在多个设备或多个服务器电脑。
对于我个人的密码,我已经在转移到像Passwordmaker这样的实用程序中获得了相应的密码 ,这个实用程序需要一个“主密码”和其他一些事实(网站名称,用户名等),并从一个安全的哈希函数中创build一个随机密码。 只要您知道您的“主密码”和“其他事实”,您可以使用该软件在您每次需要时重新input密码(即密码永远不会存储在任何地方,encryption,明文等)。
我还没有find一个企业密码“拱形”工具,做我想要的一切:
我愿意在这样一个项目上投入资金或开发时间,但是我从来没有发现任何接近或者想花费时间来实现这个目标的事情。
我使用SSH密钥,对所有服务器使用相同的密钥,并在我的密钥文件上保留一个好的密码。 节省了很多的烦恼。
对于那些不起作用的设备,我会使用一个难以猜测的核心密码,然后使用设备DNS名称,IP或其他常见特性(如操作系统或品牌)来设置密码该设备是唯一的。 对于类似的设备组来说这非常有效。 只要保持模式/助记符的秘密,以及核心,你有一个易于记忆的困难,独特的密码。
每台机器都有不同的密码,但是我们把它们都保存在一个pwsafe中。 PITA抬头看,但是阻止了一个突破,让我们玩得开心。
没有永不。 我做什么来帮助助记符是有一个很长的(12个字符左右)通用前缀,由每个服务器的中等长度属性(6个字符)修改,如果他们在同一机架(或任何您认为是一组服务器,这应该根据需要来确定(见Ernie的评论和我的回答))。
例如,如果服务器组由汞(10.0.1.1,smtp),mars(10.0.1.2,防火墙),bacchus(10.0.1.3,web)组成,并且通用前缀是R %% SDO23jfida,则
- mercury: R%%SDO23jfida11001mersmtp - mars: R%%SDO23jfida21001marfirewall - bacchus: R%%SDO23jfida31001bacweb 在我工作的组织中使用的那个:
桌面/本地PCpipe理员的密码都是一样的(但是因为我们是所有机器的鬼影,这是唯一的办法,如果有人发现了密码,我们仍然可以改变我们的初始幻影图像,并更新所有机器接收新的图像,我们会没事的。
每个服务器有不同的密码。 然后,我们再次不处理太多的服务器,如果我没有正确记得我曾经访问过的6个(但我相信我们有更多的),而不是过于复杂的密码,他们select了简单易记密码,添加合理| eet5peak给他们,并使他们真的很长(但又容易记住):)
我个人认为,对于台式电脑,你想保持根/pipe理员密码相同,确保使用本地pipe理员帐户轻松pipe理。
对于服务器来说,最好是有所不同,以确保是否有违反,它是纯粹在该服务器上,而不是进一步。 而且密码的复杂性也会随着服务器的重要性而变化(即保持用户/通过的服务器的复杂度最高,保持日志的服务器的复杂度也会降低)。
我的5c
尽pipe它遵循最佳实践(实际上是随机生成的),但我们在任何地方都使用相同的root密码。 只有在我们不得不手动机器的情况下才需要进行文件系统检查或妥协后的取证。 和Geoff一样,ssh是唯一的远程访问协议,对于root用户是禁用的。
我们在每个盒子上使用一个随机生成的,延迟的长密码,我们永远不会保存在任何地方。 正常的用户身份validation是通过LDAPpipe理的,Sudoers也一样,所以我们只需要一个密码就是在networking访问不正常的情况下,在这种情况下,完全可以接受服务器和单用户,修复networkingconfiguration,并把它带回来。
汞:R %% SDO23jfida11001mersmtp
火星:R %% SDO23jfida21001marfirewall
bacchus:R %% SDO23jfida31001bacwmyc0mm0npa $$ w0rd.105
myc0mm0npa $$ w0rd.web
我见过很多人这样做,但没有人能解释这比使用相同的密码更安全。 什么让任何人看到其中一个密码,找出其他人? 唯一的优势似乎是不同的哈希值,但不同的机器上不同的盐也解决了这一点。
有人可以启发我吗?
考虑到密码是最后一道防线,我会说这不像以前那么重要。
但是,最后一件事情是你的办公室里有一些雅虎在运行,这是非常普遍的。
我们的密码策略是使用一个难以猜测的通用前缀,然后使用每个服务器类的通用密码。 这减less了我必须记住的密码数量,同时保护其他服务器免于“错误”。 与Vinko不同的是,我们不使用任何集成与机器相关的任何系统。 我会build议反对,因为一旦组织内的任何人都可以访问一个密码(因为他们需要它),他们可以很容易地找出其他密码。
我logging所有的根login,并让错误filter(在我的情况下logcheck)传递给我的电子邮件,以便我知道什么时候有人试图破解根密码。 限制在哪里可以完成,确保我的电子邮件没有填满这些日志溢出。
我注意到没有人经常谈论改变密码。 是的,这是一个痛苦…在某个地方,但迟早会有任何密码泄漏出去(某人退出?)。 我认为任何一种密码必须经过一段时间才能改变,不pipe你用什么来build立密码。 我们的政策是每年都会猜测一个完全随机的密码,然后逐渐在我们的设备上进行更改。 逐渐的变化让我们拥有了更多的安全性,因为在任何时候,我们在任何地方都没有相同的密码(这不是一件好事)。
不。我上一次工作的策略是为同一networking中的设备共享一个通用的生成密码,并添加一个分隔符和一些与IP地址或设备types相关的字符。 例如:
myc0mm0npa$$w0rd.105 myc0mm0npa$$w0rd.web
但仍然不安全。 我现在所做的是为每个服务器或设备生成一个不同的root密码。
我很惊讶没有人提到这一点,但我会用kerberos ldap创build一个单一的login,将使用SSH密钥到特定的设备。 这当然假设我试图连接的设备支持LDAPauthentication。 借助LDAP,我可以创build可访问特定设备的用户组。 另外,我的所有用户都通过集中式kerberos服务器login,因此login只能在本地进行,我可以立即撤销一个帐户,以防因某种原因遭到入侵。
如果您在100多台机器上拥有密码或密钥,请尽快更改所有这些密码或authorized_keys文件。 我不必担心这一点。
对多个帐户或设备使用相同的root密码是一个坏主意。 由于没有问责制,这绝不会在IT审计中占据一席之地。 一旦有人有密码,他们可以访问多个帐户,你不能certificate谁做了或没做什么。 我有时看到人们试图通过loggingIP地址来实现问责制,但这很麻烦,而且很容易被破解。
为了带来问责制并通过SOX,PCI,HIPAA等,您需要一次性限制对一般用户的访问权限,跟踪访问内容,然后在完成后更改密码。