Хранение паролей

[Insallah]

Мы храним огромное количество паролей, от различных панелей управления серверами, доменов, админок, ssh, ftp, баз данных и т.д., речь идёт о сотнях различных паролей и логинов. Все ещё сильно усложняется тем, что одному человеку пароль нужен разово, другому довольно часто, причём в любое время дня и ночи.

Поделитесь опытом, как организовать эффективное, надёжное управление всеми этими паролями и доступами? Что делаете, когда увольняется ключевой администратор или программист?

Вопрос поиска идеального решения ради.

 

[X-ray]

В блокноте хранить пароли, а блокнот в архиве под паролем.

 

[Insallah]

А открытие текста в блокноте не копирует его в /temp ?
А если нужен пароль из мира?
А если совместная работа с паролями?

 

[X-ray]

Тогда создай почтовый ящик для хранения паролей.

 

[Habilis]

По моиму не плохая идея для своего проекта,
CloudPasswordManagement system

 

[Insallah]

Тогда создай почтовый ящик для хранения паролей.

И каким внешним ресурсам можно доверить свои пароли? А если кто-то добавит новый - как синхронизировать?

 

[X-ray]

И каким внешним ресурсам можно доверить свои пароли? А если кто-то добавит новый - как синхронизировать?

Сходи в ближайший ларек и купи блокнот, запишешь все пароли обычной ручкой, а блокнот спрячешь где нибудь дома. Никто точно не найдет.

 

[-=MoXxX=-]

puppet + hiera

 

[Insallah]

Иногда у меня складывается впечатление, что ты вообще никогда не читаешь что другие пишут. Локальные у меня зашифрованы в TrueCript + Rijndael. И то с синхронизацией на разных устройствах вопросы. Вопрос в том, когда с паролями надо работать нескольким людям + держать базу паролей актуальной + (опционально) защититься от идиота, сливающего пароли в мир.

 

[Insallah]

puppet + hiera

а что есть что?

 

[-=MoXxX=-]

puppet это система контроля конфигураций, hiera же по сути интерфейс для передачи данных в puppet.
Если есть какой-то корпоративный сервак, то на нем, например в случае с фтп, можно подмаунтить фтп как раздел, на который в свою очередь выдавать доступ определенным аккаунтам.

В случаях с паролями для всяких вебморд можно наколхозить проксю, которая будет спрашивать тебя о твоей корпоративной учетке, а на другой стороне уже использовать сохраненные логины/пароли.

Роль puppet'a и hiera в данном случае это предоставить возможность вернуть все ключевые конфиги на исходную или для развертывания схожего сервера.

 

[Insallah]

Хм. Надо покрутить эту идею.