В настоящее время я работаю в небольшой компании, которая выполняет задачи системного администрирования для различных клиентов. Мы выполняем нашу работу в основном удаленно, и мы сталкиваемся с тем, что данные для всех наших клиентских систем в основном находятся в головах (иногда приписывают заметки) нашей команде. У нас есть бумажная форма, в которую можно поместить всю эту информацию, но она редко обновляется. Когда один из этих людей недоступен, другой не может даже использовать ssh для клиента, потому что пароли нигде не могут быть найдены. В основном нам нужно хранить информацию о:
Вся эта информация должна храниться для каждого клиента. В конце концов, мы хотим, чтобы определенные группы имели доступ только к определенным клиентам, поэтому было бы неплохо контролировать доступ для каждого клиента.
Мои вопросы: какое решение (или решения) люди обычно используют в этой ситуации?
У нас есть файл данных keepass (для которого у тех из нас, у кого есть авторизация, есть ключевой файл), в котором хранятся соответствующие учетные данные, в небольшом проекте системы управления версиями. Дополнительные детали иногда хранятся в поле (ах) примечаний keypass, или, если это больше, чем что-то вроде пары IP-адресов (и информация не является конфиденциальной), такие детали находятся в небольших документах (обычно в текстовом файле) вместе с парой документов в том же проекте.
Есть еще одна база данных keepass с более конфиденциальными деталями, к которой также имеет доступ меньшее количество людей. В зависимости от масштабов вашей деятельности и характера ваших клиентов вам может потребоваться более детальная разбивка, чем мы.
Я считаю, что это работает довольно хорошо, когда люди пытаются его использовать (меня иногда раздражают разговоры, в которых говорится: «Какой пароль VPN для X? Это в keypass. О, какой адрес мне нужен для SQL-сервера в этом конце? Проверьте keypass. А пользователь / пароль SQL? Все в keypass. ХОРОШО. А как насчет веб-сервера? ...").
Мы используем ssh-ключи с одним паролем на всех наших серверах. Мы меняем пароль каждые пару месяцев.
Мы также используем вики в качестве базы знаний (я бы рекомендовал doku-wiki) и trac как билетная система.
Настройте базовую вики и pgp / gpg-зашифруйте документ / документы с такой информацией. Настройте клиента (ов) с помощью плагина FireGPG firefox. Вы даже можете смешать встроенные зашифрованные разделы в простую текстовую вики-страницу, и она позаботится о ее расшифровке за вас.
Просто убедитесь, что вы шифруете документы для себя (на случай, если клиент потеряет свой ключ), в дополнение к тем, кому нужен доступ.