Учитывая, насколько важно иметь разные пароли для разных систем, как управлять центром обработки данных с тысячами серверов? На данный момент я управляю только несколькими десятками машин, но их число имеет тенденцию к росту, особенно виртуальных машин. Если вы клонируете виртуальную машину, у нее будет тот же пароль, и если это часть автоматизированного рабочего процесса, у вас не так много шансов изменить его. Если вы автоматизируете смену паролей, это нужно делать безопасно, и вы вернетесь к единой точке отказа. Итак, что делают люди?
Я должен объяснить, что проблема заключается не в паролях (для этого существует множество генераторов паролей), а в эффективном процессе их установки и записи, особенно когда машины создаются автоматически.
Даже несмотря на то, что вы используете LDAP, в большинстве систем есть учетная запись root / суперадмина для автономной аутентификации на случай, если каждый экземпляр LDAP не работает. То, чего не должно случиться, произойдет раньше, чем позже.
LDAP мог быть вашим ответом в этом случае, но для автономного пароля администратора root вы должны использовать центральную CMDB, новый случайный пароль для каждого сервера и какие-то автоматические процедуры для регулярного изменения этих паролей и, конечно же, проверять изменения, которые были сделано.
Если вы клонируете виртуальную машину (что я не думаю, что вам следует это делать, но это другое дело), необходимо выполнить определенные процедуры, и одна из них должна сбрасывать все пароли.
Изменить: ответить на ваш заголовок «Как вы выбираете пароли для большого количества серверов?» - Не знаешь. Я бы использовал random для всех серверов. Настоящий вопрос в том, как и когда вы обнаружите, что кто-то взломал ваши серверы.
Я бы не советовал обмениваться паролями между машинами. Если один будет взломан, потенциально все ваши машины будут скомпрометированы. Однако, если вам нравится идея переустановить их все ... :)
Я бы не стал использовать пароли, которые вы можете придумать, например часть имени хоста, IP / Mac-адреса и т. д. Лично я бы использовал программное обеспечение, предназначенное для безопасного хранения паролей, например Keepass. Разрешите keepass генерировать пароли за вас. Я использую как минимум 12 символов и включаю числа, прописные и строчные буквы, но я использую опцию «Избегать похожих символов», когда вам нужно вручную вводить пароль.
В большинстве случаев используются два набора паролей: онлайн-аутентификация и автономные пароли. Оперативная аутентификация обычно выполняется с помощью системы аутентификации / авторизации (AA), такой как Kerberos. Каждому администратору назначаются соответствующие токены и права доступа на серверах.
Для автономного администрирования критически важных систем пароли root хранятся отдельно (в нашем случае в физически отключенной системе). Весь доступ к списку паролей регистрируется, и пользователю необходимо ввести мотивацию для получения корневого пароля сервера. Раньше автономный список паролей представлял собой распечатанный список, хранящийся в сейфе.
При инициализации виртуальной машины вы обычно можете согласиться с тем, что у вас нет пароля root, и просто назначьте онлайн-аутентификацию / авторизацию. Маловероятно, что вам потребуется администрировать виртуальные машины, когда ваши серверы AA отключены.
С таким количеством систем двухфакторная аутентификация через LDAP будет работать хорошо. Одним из факторов является защищенный идентификатор RSA. Если бы взломщик обнаружил пароль пользователя, ему все равно потребовалось бы как минимум три поколения номеров RSA подряд, прежде чем они смогут дублировать будущие поколения. Надежные политики паролей для загрузки.
У нас есть приложение, работающее как локальная служба, которая каждые несколько недель выбирает случайный пароль и меняет его. Мы используем веб-портал, который подключается к базе данных, где хранится хешированный пароль, когда нам нужно использовать локальную учетную запись администратора.
Если вы используете debian, вы можете
apt-get install pwgen
Затем запустите
pwgen -s 10
Вы получите список таких паролей:
f8v80OYXeI 5MjxYpIIv2 Tm21s5L2Cn OIcli0rFzO baOxEpe76k Lkk4RrnbU0 JxmBJ2INUf
Opz0suRZ3w CItzZfEm2L e2C02fwjYI NG9szPlwiR fhr5IyY1VO 1C8GvLztE5 lYaKJFQ5vh
aAjQLPShN4 w3mMCM5ZGD 58qPYdXpQv 5Ai9vo98Tu O8MEczVUvm ZMnFNJM7Yw xA92RM2SIU
aGKHaR0Ow2 XCKdv966YN pEy1xnll4r 281ffAgBE4 dTCbw5eS0D dUWPqrW7GP yXTuubWHJ1
0nOFEatyuD nSefCV8yRG J7bgHIrEZ3 wDQWtG7QLz AOGGQx1agh zEDUp3Bt4I BS3m3EYf9q
...
Это случайно выбранные 10-символьные пароли, которые будет сложно подобрать. ('-S' делает их случайными, по умолчанию pwgen делает их произносимыми)