हजारों सर्वर का रूट पासवर्ड प्रबंधित करने के लिए सबसे अच्छा उपाय क्या है

12

मैं सिस्टम एडमिनिस्ट्रेटर हूं। उत्पादन परिवेश में मुझे हजारों सर्वरों का प्रबंधन करने की आवश्यकता है। मेरे सहकर्मी और मैं केंद्रीय प्रबंधन सर्वर का उपयोग करते हैं और अन्य सर्वरों के माध्यम से इसकी सार्वजनिक कुंजी वितरित करते हैं। तो हम अन्य सर्वर पर ssh करने के लिए इस प्रबंधन सर्वर का उपयोग कर सकते हैं।

कभी-कभी हमें रूट पासवर्ड का उपयोग करने की आवश्यकता होती है, उदाहरण के लिए जब सर्वर डाउन होता है, तो हमें कारण निर्धारित करने के लिए आईएलओ का उपयोग करने की आवश्यकता होती है।

वर्तमान में, हम एक साझा रूट पासवर्ड का उपयोग करते हैं। यह असुरक्षित है। मैंने कुछ एकल सर्वर समाधान की तरह भी देखा OPIE(वन-टाइम पासवर्ड इन एवरीथिंग), लेकिन चूंकि हमारे पास बहुत सारे सर्वर हैं, इसलिए यह बहुत अच्छा विचार नहीं है।

संपादित करें:

पासवर्ड प्रबंधन समाधान से मुझे क्या चाहिए:

यह सुरक्षित होना चाहिए, इसलिए वन-टाइम पासवर्ड एक महान समाधान है।
पासवर्ड आसानी से दर्ज किया जा सकता है, कभी-कभी हमें सर्वर से मॉनिटर संलग्न करने की आवश्यकता होती है, या iLO के साथ जैसा कि मैंने ऊपर उल्लेख किया है।
समाधान भी काम करना चाहिए सर्वर ऑफ़लाइन है (बिना किसी नेटवर्क कनेक्शन के)

इसलिए रूट पासवर्ड को लंबे और यादृच्छिक स्ट्रिंग पर सेट करना बहुत अच्छा विचार नहीं है, हालांकि यह कुछ ज्ञात कमांड (जैसे openssl passwd) से उत्पन्न होता है । यह याद रखना मुश्किल है, और कभी-कभी इसे (मेरे लैपटॉप के बिना) उत्पन्न करना मुश्किल है

linux root password

— yegle
स्रोत

1

क्या आप पहले से ही कठपुतली की तरह एक विन्यास प्रबंधन प्रणाली का उपयोग कर रहे हैं? तुम क्या प्रयोग कर रहे हो?

— ज़ॉडेचेस

इसके लिए कठपुतली ++।

— टॉम ओ'कॉनर

हम

— बजे

5

आप अपने सभी सर्वरों में पासवर्ड परिवर्तन को पुश करने के लिए कठपुतली का उपयोग कर सकते हैं । आप rootइस userप्रकार का उपयोग करके परिभाषित करेंगे :

    user { 'root':
            ensure => present,
            password => '$1$blablah$blahblahblahblah',
    }

एन्क्रिप्टेड पासवर्ड उत्पन्न करने के लिए:

openssl passwd -1 -salt "blah"

मेरा सुझाव है कि शायद हर महीने इसे बदल दें --- शायद एक योजना का उपयोग करके जिसे आपके एसएएस ने याद किया हो। आप इसे एक सुरक्षित विधि के माध्यम से भी वितरित कर सकते हैं या इसे एक सुरक्षित स्थान पर रख सकते हैं।

— बेलमिन फर्नांडीज
स्रोत

3

आप हमेशा एक अक्षम पासवर्ड सेट कर सकते हैं। यह किसी भी नेटवर्क को रूट करने से रोकेगा, और यदि आप सिंगल यूजर-मोड में बूट करते हैं तो ज्यादातर डिस्ट्रीब्यूशन सीधे शेल में बूट होंगे।

यह शायद सुरक्षा के मुद्दे से उतना बड़ा नहीं है जितना आपको लगता है कि यह हो सकता है। यह वैसे भी रूट पासवर्ड को बायपास करने के लिए तुच्छ है, जब तक कि आपने एक पासवर्ड के साथ ग्रब को लॉक नहीं किया है, बहुत ज्यादा कोई भी बस initrd के बजाय bash शुरू करने के लिए ग्रब बता सकता है।

बेशक, इसका मतलब यह हो सकता है कि आपको इसके बजाय यह पता लगाना चाहिए कि पासवर्ड आपके बूट-लोडर की रक्षा कैसे करें।

— Zoredache
स्रोत

0

आप केंद्रीय प्रबंधन के साथ वन टाइम पासवर्ड का उपयोग कर सकते हैं। मुझे पता है, कि "एथ ऑफ़लाइन होने और आईएलओ के साथ सर्वर एक्सेस होने पर" काम करना चाहिए।

वैसे भी: सवाल यह है कि, सर्वर कितनी बार ऑफ़लाइन है।

तो आप निम्न सेटअप के बारे में सोच सकते हैं:

प्राइवेसी ( http://www.privacyidea.org ) जैसे एक केंद्र प्रबंधित OTP समाधान का उपयोग करें । आप रूट उपयोगकर्ता को कई अलग-अलग ओटीपी टोकन असाइन कर सकते हैं। प्रत्येक टोकन में एक अलग ओटीपी पिन होता है और एक अलग उपकरण होता है। इस प्रकार आपके सभी सहकर्मी उपयोगकर्ता रूट के रूप में लॉगिन कर सकते हैं लेकिन ऑडिट लॉग में आप देखेंगे कि कौन सा टोकन प्रमाणित है, जिससे आप जान सकते हैं कि किस सहयोगी ने किस समय लॉग इन किया था।

सर्वर पर आपको RADIUS और privacyIDEA को प्रमाणीकरण अनुरोध पास करने के लिए pam_radius को कॉन्फ़िगर करने की आवश्यकता है।

ओह। अब आपका सर्वर ऑफलाइन हो जाता है। इस मामले में आपको अपने पैम स्टैक के साथ खेलना चाहिए। मैं कुछ ऐसा सोच सकता था:

auth sufficient pam_unix.so
auth required pam_radius.so use_first_pass

ताकि आप ऑफ़लाइन पासवर्ड के साथ लॉगिन कर सकें, और अन्यथा पासवर्ड pam_radius को सौंप दिया जाता है और गोपनीयता के खिलाफ OTP के रूप में मान्य किया जाता है।

इस howto देखें https://www.howtoforge.com/manage-two-factor-authentication-in-your-serverfarm-with-privacyidea ।

— cornelinux
स्रोत