Re: Servidor de senhas.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Olá,
On 05-11-2011 12:32, Cleber Ianes wrote:
> Na empresa que trabalho temos aproximadamente 50 servidores sendo
> 30 locais e o restante fora, alguns são Linux, alguns FreeBSD e
> até 2 rWindows2008
> Vez ou outra surge a necessidade de trocar senha de root desses
> servidores, seja por troca de funcionários ou simplesmente por
> segurança.
O acesso às senhas de root, isso não vai mudar muito, porque sempre
existirá o cenário onde funcionários com senhas de root saem da
empresa, mesmo que você reduza o número.
Nestes casos não tem muita mágica, você pode automatizar isso de
várias formas, usando ferramentas como clusterssh ou ferramentas
de gerenciamento de configuração como chef/puppet.
Para o gerenciamento de senhas a questão é usar uma ferramenta
para armazená-las, pode ser um arquivo criptografado usando GPG,
pode ser algo como pwman ou yapet, mas isso é só para ajudar no
armazenamento das senhas em um ponto central.
> Hoje faço isso máquina a máquina.
Para trocar as senhas de root é isso mesmo, ou você fará ou
automatizará, mas a senha terá que ser trocada em cada máquina.
> Quero mudar a forma de acesso fazendo com que cada técnico
> acesse as máquinas utilizando um usuário próprio com poderes
> de root, mas tenho que centralizar isso em um único local
> para que eu não precise "ir" a cada servidor para alterar a
> enha. Inclusive a senha de root, se possível. Quais as opções
> sugeridas?????
Como sugerido, um cenário possível é o serviço de diretórios,
pode ser OpenLDAP ou algum outro que você prefira. A questão
aqui é que talvez você não queira compartilhar a mesma base
LDAP em todos esses servidores e talvez os Windows não possam
acessar isso via Samba por diferentes restrições, então há
outras alternativas.
Antes de falar das outras alternativas, note que você pode
usar LDAP, usar SSL para comunicar mudanças, integrar o LDAP
com sudo-ldap e ter gerenciamento centralizado de acesso. No
LDAP você pode dizer quais pessoas podem acessar quais
servidores e configurar a PAM para ler esses dados. Com isso,
um usuário acessa com a conta não privilegiada o SSH e daí
escala para root usando sudo, podendo até mesmo ter um shell
como root se for o caso ou sendo autorizado a executar apenas
alguns comandos.
A outra alternativa é automatizar essa configuração. Você pode
usar algo como a libpam-pwdfile e ter um arquivo de usuários
distribuído para as várias máquinas através de chef/puppet ou
outras mágicas com chaves SSH. Usando o mesmo sistema para
distribuir a configuração você pode padronizar o acesso sudo
e ter um efeito similar ao LDAP, só que podendo ter cenários
diferentes a partir de um repositório central.
As máquinas Windows serão um desafio à parte. :)
Abraço,
- --
Felipe Augusto van de Wiel (faw) <faw@funlabs.org>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/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=B8Q4
-----END PGP SIGNATURE-----
Reply to: