Como gerenciar credenciais no ambiente multiservidor

1

Eu tenho um software que usa seu próprio arquivo criptografado para armazenamento de senha (como ftp, web e outras senhas para acessar sistemas externos, não há como usar certificados).

Em cada servidor eu tenho várias instâncias deste software, cada instância tem seu próprio arquivo de senha.

No momento, o número de servidores está crescendo permanentemente e está ficando cada vez mais difícil gerenciar todas as senhas em todas as instâncias até o momento.

Infelizmente, alguns servidores estão em uma rede agregada e não há acesso a eles para algum armazenamento centralizado, mas funciona vice-versa.

Minha primeira idéia foi criar um repositório git, criptografar cada senha com gpg e armazená-la no sistema de implantação, mas a equipe de segurança não estava satisfeita com essa ideia e como é inseguro armazenar senhas no repositório mesmo em visão criptografada (de suas palavras).

Nada semelhante vem à minha mente. Existe alguma maneira de implementar armazenamento seguro de senhas com o mínimo de esforço para gerenciar todas as senhas atualizadas?

ps. se isso importa, eu tenho chapéu vermelho em todos os lugares.

    
por rush 20.06.2013 / 14:24

3 respostas

3

Você pode dar uma olhada no FreeIPA que faz uso de LDAP e kerberos para autenticar usuários. É um sistema bastante completo e vasto, mas funciona.

Aqui estão algumas das Wikipedia sobre isso:

FreeIPA is a Red Hat sponsored open source project which aims to provide an easily managed Identity, Policy and Audit (IPA) suite primarily targeted towards networks of Linux and Unix computers. FreeIPA can be compared to Novell's Identity Manager or Microsoft's Active Directory in that the goals and mechanisms used are similar.

    
por 23.06.2013 / 21:15
1

Embora isso possa ser um pouco de não-resposta, talvez você possa dividir a diferença. Na maior rede ou na cópia principal (talvez aquela com mais atualizações), coloque o arquivo no armazenamento compartilhado. Isso, pelo menos, resolverá um dos seus domínios de rede.

Parece que você pode empurrar para a rede, mas não cruzar a montagem (???). Isso é meio estranho, eu esperaria que as redes fossem fisicamente distintas, a menos que você esteja fazendo referência a algum tipo de implantação de software. Se você tiver uma solução de firewall, poderá configurar o armazenamento central a ser montado pelos hosts do cliente e garantir que seja o único volume que pode ser acessado por meio de suas regras de exportação.

Caso contrário, execute um agendamento de replicação. Dependendo de quanto trabalho manual está envolvido nas sincronizações cruzadas, talvez você deva configurar uma espécie de replicação. Informe seus usuários que as senhas só serão alteradas no sistema mestre de tempos em tempos e, em seguida, sobrescreva os outros sistemas.

    
por 23.06.2013 / 20:49
1

Se você precisa ter algo em um número de nós ao mesmo tempo, gravável de todos os nós e legível de todos os nós, e sem acesso a um sistema de armazenamento central, você deve dar uma olhada no ceph ( link . O Ceph é um armazenamento de objetos distribuídos que fornece um sistema de arquivos para acesso padrão por aplicativos que você não pode adaptar.

Se o Ceph como um sistema de arquivos distribuído não é uma solução, por qualquer motivo, você pode dar uma olhada em alguns outros sistemas de arquivos distribuídos no Linux.

link

    
por 23.06.2013 / 20:50