Как вы храните пароли от серверов?

Question

[Kolger]

Приветствую!

В данный момент у меня под управлением порядка 15ти серверов (большая часть из них это виртуалки) и их количество постоянно увеличивается. Я стараюсь делать разные пароли на root и ключевые сервисы (типа mysql) для каждого из них. Итого, получается 5-6 паролей на сервер. Сам логинюсь по ключу.

Базу данных паролей я храню в 1password, что меня вполне устраивает, но я, предлолагаю, что можно сделать лучше и удобнее.

Как и где вы храните пароли от серверов? Как это делают компании типа Яндекса? Наверняка есть некое универсальное решение.

Заранее спасибо за ответ.

Answer 1

[akral]

KeePassX — популярный, надёжный, кросс-платформенный инструмент с открытым кодом.

Answer 2

[shadowalone]

Серверов порядка 50-ти, все в голове. Просто надо делать удобные ассоциации. При изменении, ассоциации должны сохранятся.
Ну, это конечно, кому как. Некоторые и от 2-3 не могут в голове удержать.

Comments

[Илья Плотников]

А если голову скрутят, как последующий админ будет работать?

[shadowalone]

Ну во первых достаточно ключа, для захода на сервер, все остальные пароли всегда можно сменить. Во вторых, всегда есть люди имеющие доступ к серверам по отдельности.
Я так понимаю, минусуют те, у кого с памятью не ахти — это от зависти чтоль? :)

Answer 3

[slpdmn]

У меня выработан простой ассоциативный алгоритм по формированию пароля, основу для которого составляет особенность сервера (например его функциональное назначение или его дерево), если есть несколько одинаковых серверов, я их нумерую (раньше цифрами, сейчас буквами — пароли длиннее выходят). Например (для несколько сайтов на одном хосте):
хост&сайт — это невозможно не запомнить — дальше простой и одинаковый во всех случаях способ перестановки букв (и добавления цифр и знаков препинания) дает абсолютно нечитаемые пароли. Например domain&site в самом примитивном варианте преобразуется в niamod&etis, Дальше — фантазия подскажет, нет пределов. Одно время я так паролил ежедневные бэкапы, добавляя в пароль дату.
Лет двадцать уже эксплуатирую эту систему, проколы были (как же без них), но путем перебора возможных вариантов довольно быстро удавалось подобрать требуемое.

Answer 4

[smartlight]

я храню в eWallet. есть версия для win и для iphone.

Answer 5

[nochkin]

Важные сервера храню в голове.
Не очень важные записываю крупными буквами на бумажке и приклеиваю к монитору.

Answer 6

[Alukardd]

У меня вход везде по ключам, ключ защищён паролем. Пароли от рабочих сервисов рандомные, храню в файлике шифрованном Vim'ом, до этого пытался использовать OpenSSL для AES шифрования, понял что не удобно, т.к. не везде настроена интеграция с vim (конфиг править лень везде ;-)), что сильно усложняет жизнь (а команду запомнить сложно :-D — openssl enc -a/-d -aes-256-cbc). Да, старые версии Vim поддерживают только zip шифрование, которое весьма быстро ломается, а вот начиная с 7.3 используется blowfish, так что всё прекрасно.

Comments

[Kolger]

А заходите на рута, или на своего пользователя и используете sudo?

[shadowalone]

По-моему ни один разумный админ не оставит прямой заход root-том без острой необходимости.

[Kolger]

Вот и у меня тот же вопрос :) Остается вариант с sudo без пароля.

[Эргил Осин]

sudo без пароля, но при этом с отсылкой на почту каждого судошного чиха.

[Alukardd]

почему же сразу sudo? можно вход на пользователя, а дальше su с паролем root'а всё из того же файла с паролями.

И да, я почти на все сервера вхожу сразу за root'а. Должен быть предел паранойи, однако. Достаточно сертификата защищённого паролем. В некоторых случаях добавляю knock на порт ssh через iptables.

[Эргил Осин]

По стандартам у нас в конторе, описанным мной же, root не имеет пароля и ему запрещено ходить по ssh

[Alukardd]

Такие «стандарты» я видал один раз, только не считаю их нужными. Ваш стандарт очень похож на подход canonical :-)
А всё потому, что Ваши стандарты вряд ли описывают в каком кармане админ носит бумажку с паролями и ip-шниками написанными plaintext'ом и где оставляет их без присмотра.
В противном случае безопасниками должна быть написана куча бумаг, составлена модель угроз и т.д., что уже в 90% случаев не наша(админская) забота. Мы же обеспечиваем некий уровень технической защищённости, а изощряться можно до бесконечности (кто-то простыми knock'ами, а кто-то последовательной авторизацией по цепочке серверов и ни как иначе).

Надеюсь, что Вы поняли мою мысль.

Answer 7

[Назар Мокринский]

ssh по ключам, либо система сама запоминает (Ubuntu), админки и phpmyadmin запоминает браузер.
Домашняя директория пользователя на рабочей машине шифрована.
Что-то редкое в заметках браузера (Opera), синхронизируется с браузером на планшете и телефоне. На планшете домашняя папка тоже шифрована (Windows 8).

Пароли 20/30 знаков абсолютно рандомные, с символами как положено, не поддаются запоминанию, взлому перебором тоже.

Answer 8

[Влад Животнев]

Никак большинство админов пароли на ssh не хранят. Выключают логин рутом по паролю, а сами ходят по ключам.

Answer 9

[nikitasius]

Рандомные пароли (в т.ч. разного регистра из символов a-zA-Z0-9) отлично поддаются запоминанию, если вводить их как минимум месяц.
Сам использую рандомные пароли которые нигде не записываю уже лет 10-11. Проблема с обновлением таких рандомных паролей решается добавлением в начало/конец 5-6 рандомных символов. Или частей других рандомных паролей из головы.
Сторонний софт и ресурсы не использую, так как банально не доверяю их авторам.
Ключи не использую.
Не понимаю, зачем минусовать людей, кто ответил, что хранит так же в голове?

Представьте ситуацию:
у вас есть доступ к терминалу, через который можно вас физически отключить (как init 0 послать и никто вас не разбудит:) ), вы будете периодически проверять состояние сего терминала, как ваша жизнь, здоровье, иммунка и т.д.
Где вы «запишите» от него пароль? Ценность ресурса такова, что злоумышленник может раз и навсегда избавится от вас.

*мой самый длинный рандом в голове 29 символов, самый короткий «заглушка» 5 символов.

Comments

[EugeneOZ]

Для работаделя ценность жизни системного администратора менее важна, чем ценность бизнеса. Ну и работодатель больше поверит KeePass (код которого, кстати, можно самому проверить), запароленные файлы которого хранятся в нескольких копиях, чем системному администратору, который говорит, «да не парься, чувак, все ключи к твоему бизнесу, в который ты вложил всю твою жизнь, лежат в моей памяти, память у меня хорошая, не очкуй».

[nikitasius]

Топик называется не «Где/Как работодатель хочет хранить пароли?», а «Как вы храните пароли от серверов?» от лица администратора, соответственно ваш комментарий «не в тему».

Если администратора обяжут (служебка/долж. инструкция) использовать блокнот или стикеры на монитор, он их будет использовать. В топике, опять же, его никто не обязывает использовать особое ПО/средства.

Answer 10

[navion]

Компании типа Яндекса используют LDAP.

Answer 11

[Jonh Doe]

1Password вот думаю купить еще и на телефон их приложение.

Answer 12

[belokurskiy]

Попробуйте remotedesktopmanager.com/

Answer 13

[AntonioK]

www.vpass.info/

Answer 14

[Евгений Шелег]

Mars Notebook
Удобный шифрованный контейнер.

Answer 15

[Константин]

lastpass попробуйте, автозаполнение для браузеров удобное + для мобильных платформ