Меня интересуют передовые методы и потенциальные проекты с открытым исходным кодом, которые позволят моей организации безопасно хранить несколько паролей и позволить нескольким администраторам получить к ним доступ. Меня интересует что-то, что позволило бы каждому администратору иметь собственный логин / ключ вместо обычной защищенной паролем электронной таблицы Excel. ;)
Предпочтительнее было бы веб-приложение, которое я могу запускать через SSL.
Мне нужно, чтобы он работал в среде Mac / Linux - никаких приложений для Windows, пожалуйста.
Спасибо!
Мы используем это: http://sourceforge.net/projects/phppassmanager/ (немного доработан / настроен)
Он установлен на веб-сервере HTTPS с аутентификацией Active Directory, чтобы ограничить получение пароля нашей командой. Каждый член команды знает мастер-пароль, используемый для шифрования всех паролей, хранящихся в phppassmanager. Они используют его, когда хотят добавить / изменить / прочитать пароль. Пароли хранятся в зашифрованном виде в базе данных mysql.
У них потенциально есть доступ ко всем паролям, но каждая расшифровка пароля регистрируется, и журналы отображаются для всей команды на главной странице. Эта система самоконтроль и самоуправление.
я использую KeePass и я очень доволен этим. Это простой в использовании менеджер паролей с открытым исходным кодом.
Что именно вы защищаете с помощью этой системы? Системы, которыми вы управляете, или системы, управляемые третьими сторонами?
Для внутренней аутентификации с этим могут справиться такие системы, как Kerberos, LDAP или даже просто sudo и PKI.
Для внешней аутентификации, скажем, на веб-сайте поддержки программного обеспечения, вы в значительной степени ограничены какой бы системой они ни реализовали. Такие инструменты, как KeePass (2.0 вроде работает с моно) или PasswordGorilla, могут хранить ваши пароли. Я не думаю, что кто-то из них поддерживает какое-либо понятие нескольких отдельных паролей для дешифрования; Я не уверен, как это могло работать математически.
Из того, что я читал до сих пор, любая вики-система с бэкэндом базы данных (даже с бэкэндом файлового хранилища, но я бы предпочел db) должна решить вашу проблему. Установите надлежащие ограничения для учетных записей пользователей, и только люди, которым вы доверяете (администраторы), смогут читать / изменять списки паролей (в простом HTML-документе :)).
Поместите его за сервером с поддержкой SSL и ограничьте доступ к базе данных.
PowerBroker продукт поставщика, разработанный специально для контроля / аудита доступа к общим учетным записям; однако существует значительная стоимость лицензии на каждый хост.
Я работал в компании, очень заботящейся о безопасности, и в моей команде из 5 человек мы использовали KeePassПоскольку шифрование является надежным, он является кроссплатформенным и поддерживает импорт нескольких баз данных в вашу собственную. Мы сохранили его в системе, доступной только через внутреннюю сеть через SSH-логины, требующие аутентификации по ключу (без паролей, спасибо!).
Мы используем держать Это довольно классная программа, пароли можно систематизировать по категориям. Однако я не уверен, что у вас могут быть разные уровни пользователей для входа в систему.
Я не совсем уверен, что это то, что вам нужно, но это работает для нас: мы храним в нашем SVN текстовый файл с шифрованием gpg со всеми учетными данными, зашифрованный с помощью общего ключа, который мы все разделяем. Основными преимуществами этого подхода по сравнению с keepassx или аналогичными инструментами являются: 1) можно поместить туда информацию в произвольной форме и 2) gpg --decrypt можно отправить в канал и использовать в терминале.
Конечно, это работает только для группы из ~ 10 человек, но с небольшим делегированием можно немного увеличить. Кроме того, у нас фактически есть два ключа и два зашифрованных файла для разных уровней доступа, но это не сильно меняет.
Да, и мы стараемся по возможности избегать обработки паролей (в основном с использованием личных SSH-ключей).
Я ищу то же самое и нашел 2, которые могут удовлетворить ваши потребности.
Web-KeePass - Похоже, что он сделает то, что нужно, но я все еще пытаюсь выяснить все варианты.
корпоративное хранилище - Он очень простой и находится на начальной стадии. Интерфейс еще не закончен, но мне было довольно легко разобраться.
думаю sysPass хороший выбор. Это предлагает:
Thycotic Secret Server.
Мы уже много лет используем это в моей компании. Он имеет множество полезных функций, таких как автоматическая смена паролей, отправка электронных писем при доступе к определенным паролям и т. Д.
Они также предоставляют регулярные обновления и добавляют функции.