Что лучшее решение состоит в том, чтобы управлять паролем root тысяч серверов
У меня была та же самая проблема. Я думаю, устанавливая обновления 2010 года FIM (доступный посредством обновления окон), решил проблему.
Я записал следующее как сводку:
http://setspn.blogspot.com/2010/05/fim-2010-rtm-gal-sync-ma-creation-ldap.html
Вы можете использовать Puppet , чтобы отправить изменение пароля на все ваши серверы. Вы должны определить root , используя пользователь тип следующим образом:
user { 'root':
ensure => present,
password => '$1$blablah$blahblahblahblah',
}
Чтобы сгенерировать зашифрованный пароль:
openssl passwd -1 -salt "blah"
Я бы посоветовал, возможно, менять его каждый месяц или около того - - может быть, используя схему, которую запомнили ваши SA. Вы также можете распространить его безопасным способом или положить в сейф.
Я предлагаю, возможно, менять его примерно раз в месяц - возможно, используя схему, которую запомнили ваши SA. Вы также можете распространить его безопасным способом или положить в сейф. Я предлагаю, возможно, менять его примерно раз в месяц - возможно, используя схему, которую запомнили ваши SA. Вы также можете распространить его безопасным способом или положить в сейф.Вы всегда можете просто установить отключенный пароль. Это предотвратит любой сетевой доступ к root, и если вы загрузитесь в однопользовательском режиме, большинство дистрибутивов загрузятся прямо в оболочку.
Это, вероятно, не такая большая проблема безопасности, как вы могли подумать. В любом случае легко обойти пароль root, если вы не заблокировали grub паролем, почти любой может просто сказать grub, чтобы он запускал bash вместо initrd.
Конечно, это может означать, что вместо этого вам следует выяснить как вместо этого защитить паролем загрузчик.
Вы можете использовать одноразовые пароли с центральным управлением. Я знаю, что это не соответствует принципу «должен работать, когда eth отключен, а сервер доступен с помощью iLO».
В любом случае: вопрос в том, как часто сервер отключен.
Итак, вы можете подумать о следующей настройке :
Используйте централизованно управляемое решение OTP, например privacyidea ( http://www.privacyidea.org ). Вы можете назначить пользователю root несколько разных токенов OTP. Каждый токен имеет другой PIN-код OTP и является отдельным устройством. Таким образом, все ваши коллеги могут войти в систему как пользователь root, но в журнале аудита вы увидите, какой токен аутентифицирован, чтобы вы могли знать, какой из коллег вошел в систему в какое время.
На серверах вам необходимо настроить pam_radius для передачи запроса аутентификации на РАДИУС и конфиденциальностьIDEA.
Облом. Теперь ваш сервер отключен. В этом случае вам следует играть со своим стэком pam. Я мог бы придумать что-то вроде:
auth sufficient pam_unix.so
auth required pam_radius.so use_first_pass
Чтобы вы могли входить в систему с фиксированным паролем в автономном режиме, иначе пароль будет передан в pam_radius и подтвержден как OTP против privacyIDEA.
См. Это руководство https: // www.howtoforge.com/manage-two-factor-authentication-in-your-serverfarm-with-privacyidea.