Obwohl ich viele Implementierungen von Lösungen für dieses Problem gesehen habe, glaube ich, dass das vollständigste, wenn nicht sogar das bequemste ein Git-Repository war, das auf Superuser beschränkt war, die nur verschlüsselte Textdateien mit Passwörtern nach Umgebung enthielten. Das Verwalten der Kennwortrotation auf Geräten, gemischten Servern und dedizierten Geräten wie Modems wurde separat behandelt.
Diese Lösung vereinfachte die Verteilung neuer Kennwörter erheblich, da Benutzer ein einfaches Update durchführen mussten, um das Kennwort zu erhalten Letzte Überarbeitung der Passwörter sowie Bereitstellung eines nachvollziehbaren Verlaufs früherer Passwörter für die Aufzeichnung.
Soweit ich mich erinnere, waren die Dateien GPG-verschlüsselt, aber es gibt zahlreiche Lösungen und praktikable Ansätze für den Umgang mit den Dateien selbst.
Der offensichtliche Nachteil dieses Ansatzes besteht darin, dass Sie, insbesondere wenn sich Kennwörter geändert haben, eine oder mehrere Dateien entschlüsseln, um nach den erforderlichen Kennwörtern zu suchen. Je häufiger Sie ein Kennwort verwenden, desto wahrscheinlicher ist es natürlich, dass Sie es sich merken. Je nach Gerät (en) kann der Zugriff ein seltenes Ereignis sein, das nicht wesentlich durch das Durchlaufen behindert wird Ein etwas längerer Prozess, um das entsprechende Passwort zu erhalten.
Wenn Sie auch an Strategien und / oder Skripten zum Generieren und / oder Ändern von Passwörtern auf Servern und / oder anderen Geräten interessiert sind, würde ich diese gerne teilen dass ich auch beschäftige.
-
Ich würde mich freuen.
Ich gehe davon aus, dass Sie mit Dateiverschlüsselung, PGP oder anderen vertraut sind. Wenn dies falsch ist, können Sie uns gerne fragen, und ich werde Ihnen gerne einige Beispiele geben.
Das Einrichten eines Git-Repositorys ist relativ einfach und weist Ähnlichkeiten mit den meisten Content-Management-Lösungen auf, mit denen Sie möglicherweise vertraut sind. Ein Hinweis zu Git: Es ist von Natur aus vollständig geöffnet und erfordert daher zusätzliche Schritte, um den Zugriff auf bestimmte Dateien oder Repositorys einzuschränken. Dies kann relativ einfach erreicht werden, indem Dateisystem-Acls (nur eine mögliche Lösung) genutzt werden. Abgesehen davon würde ich Ihnen auf jeden Fall empfehlen, eine Lösung zu verwenden, mit der Sie vertraut und vertraut sind, insbesondere wenn in Ihrem Unternehmen bereits alternative Content-Management-Lösungen verwendet werden.
Die Datei (en) werden von Definieren Sie eine Kennwortdatenbank, die Gerätekennungen wie Hostnamen mit Kennwörtern und möglicherweise Benutzernamen korreliert. Zum Beispiel: router-1.internetdomainwebsite.com Administrator soopersekretpasswerd
. Im Idealfall werden Sie die Datei niemals unverschlüsselt speichern. Wenn Sie diese Strategie befolgen, ist das Abrufen von Kennwörtern jedoch relativ unpraktisch. Aus diesem Grund empfehle ich, einen Accessor als Skript zu erstellen, um innerhalb Ihres Verschlüsselungsframeworks zu arbeiten. Verwenden Sie möglicherweise eine Kennung als Suchbegriff und schreiben Sie nur das angeforderte Kennwort in eine Datei, damit der Anforderer sie einmal verwenden kann.
Jedes Gerät das Passwortänderungen unterstützt, kann per Skript ausgeführt werden. Da die meisten Geräte das Ändern von Kennwörtern über eine CLI unterstützen, würde ich empfehlen, einen Blick auf die Expect-Sprache und / oder ihre Bibliotheken für Perl, Python oder die Sprache Ihrer Wahl zu werfen. Ich persönlich verwende ein Skript, das den gewünschten Benutzernamen akzeptiert, das aktuelle Passwort akzeptiert, das gewünschte Passwort akzeptiert und überprüft und dann die Änderung auf allen übergebenen oder bereitgestellten Hosts ändert und überprüft, wenn Sie dazu aufgefordert werden. Es ist ziemlich nackt Perl mit Expect.