Лучшие практики для хранения производственных паролей для небольших групп
Конечно. Если вы создаете массив для групповых блоков, а другой - для полей со списком, помещаете объекты туда, тогда вы можете циклически проходить по вашему массиву и делать то, что нужно сделать, а затем вместо жестко закодированных значений вы можете использовать свой массив в текущий индекс.
6 ответов
Вы не должны раздавать (или использовать), пароли root к любым серверам, производству или иначе. Вы не должны совместно использовать пароли.
Люди должны войти в систему как сами (аутентификация) с их собственными паролями идентификаторов пользователей; это - одна половина изображения.
Когда правильно зарегистрированный им нужно дать права (сторона авторизации изображения) как соответствующим. Можно использовать вещи как sudo в общих целях ОС и механизмах прав в базах данных, и т.д.
Это два отдельных вопроса. Не пересекайте потоки!
Я лично рекомендую людям, сталкивающимся с подобными проблемами использовать что-то как keepass или roboform для хранения паролей. Эти программы шифруют Ваши пароли на карте флэш-памяти с помощью основного пароля, который помнит человек, так, чтобы они должны были только помнить основной пароль. Если кто-то освобождает их карту флэш-памяти, у них будет окно времени, в которое они могут сообщить о поставленной под угрозу карте флэш-памяти и позволить Вам изменять пароли. Потребуется определенное время, в зависимости от силы основного пароля, прежде чем человек, который украл карту флэш-памяти, сможет к грубой силе основной пароль для достигания всех других сохраненных паролей.
Кроме того, постарайтесь не совместно использовать любую учетную запись больше чем 3 людьми, если вообще! Вместо этого считайте создание каждого человека учетной записью с эквивалентным доступом. Если у злонамеренного сотрудника есть доступ к учетной записи, которую они знают, совместно используется, это могло бы быть более заманчиво, чтобы они сделали злонамеренные вещи, так как они знают, что Вы не могли держать их ответственный, так как это, возможно, был любой из нескольких человек, совместно использующих учетную запись.
Это также означает, что Вы не должны изменять пароль каждый раз, когда кто-то выходит. Вместо этого Вы просто отключаете/удаляете их учетную запись. Таким образом, хотя у Вас есть больше учетных записей для управления, у Вас есть меньше служебное, когда кто-то уезжает, так как Вы не должны уведомлять каждый из измененного пароля.
Править: О, Roboform также имеет сервис синхронизации пароля онлайн по SSL. Таким образом, Вы могли просто сделать, чтобы люди получили пароли через синхронизацию. Это довольно прохладно, после того как Вы привыкаете к нему.
С появлением sudo мы редко должны использовать пароль root больше. В моем старом магазине пароль root был записан на карте, впаял конверт и привязал секцию в области системных администраторов. У тех, кто должен был знать, были ключи к секции.
Кто-либо открывающий конверт был обязан изменять пароль и помещать новый пароль в новый изолированный конверт. Конверт часто не открывался.
Эта система является, вероятно, действительно плохой профессиональной практикой, но в небольшом магазине, где все знали всех, она работала хорошо.
можно использовать программу как anypasswordpro для совместного использования паролей. Это шифруется и имеет уровни доступа :)
Будьте реалистичны. Нравится ли Вам это или нет, люди в малочисленных командах собираются записать пароли на липких нотах, IM их, или испытать желание послать им по электронной почте, особенно когда они не чувствуют угрозы.
Одна мера, которую я нашел полезными с небольшими группами, должна установить протокол путаницы.
Например, все пароли, переданные или сохраненные через речевую почту, электронную почту, IM или бумагу, будут иметь 1) порядок своих символов инвертированным 2) случайный символ или слово помещенный промежуточный каждый символ пароля 3) фонетически объявленный символами пароля.
Например:
Пароль: VMaccp@ss1
Запутываемый: одни 2 es df es 23 в моче sd fd видят, что DFS видит fxz да df EM sd VEE
Ключ должен установить некоторое кодирование, которое фактически невозможно для кого-то выяснить, не зная протокол, который легко помнить.
Следует иметь в виду, что это для небольших групп без безопасности жизни-или-смерти. Очевидно, для более многочисленных групп или тех, которые защищают чрезвычайно чувствительные финансовые данные, более сильные, больше громоздких мер является соответствующим.
В прототипе лаборатории НИОКР, где я раньше работал, были «стандартные» лабораторные пароли для таких вещей, как root, административный доступ к консолям, коммутаторам и т. Д. Они просты, легко запоминаются, и поделился устно со всеми, кто в них нуждался. В общем, если вы могли физически попасть в лабораторию, вам были разрешены эти пароли.
На производственном предприятии были построены и настроены новые системы для клиентов. Заказчик должен был выбрать все пароли, и они были напечатаны на комплекте бланков, которые были прикреплены к стойке с системами. Удаленный доступ предоставлялся по мере необходимости, а пароли отправлялись по электронной почте или передавались по телефону. Полностью ожидалось, что заказчик изменит эти пароли, как только система будет ему доставлена.
Для ИТ и Производственные лаборатории, почти ни у кого не было root-доступа. Почти у всех был доступ к sudo где-то между без ограничений и только с возможностью монтировать виртуальные файловые системы ... в зависимости от человека и системы. Было очень редко получить доступ к sudo для запуска оболочки от имени пользователя root. Это оставило очень четкий журнал всех команд, которые вы выполняли как root. Это бревно использовалось, чтобы смолить и опереть более одного человека на протяжении многих лет.
На моей должности службы поддержки / поддержки много лет назад каждый эксперт по инструментам выбирал свои собственные административные пароли. Они были записаны в конверте, который был заперт в сейфе в машинном отделении. Если кому-то требовался доступ администратора, он мог открыть конверт, прочитать пароль и отметить в журнале, что он знает пароль, а затем повторно запечатать пароль в конверте. Владелец инструмента должен был решить, нужно ли менять пароль. Эта система использовалась более 5 лет ... и в одном случае действительно помогла проекту пережить «автобусное испытание» (сердечный приступ) для одного члена команды.
Различные стандарты для различных систем и лабораторий. Это разумно. Я считаю, что, когда пароли необходимо разбить на части, лучше всего, если пароль будет простым, коротким и сообщается устно (лично или по телефону). Я считаю, что единственный пароль, который никогда не следует разглашать, - это пароль моей личной учетной записи. Любые пароли root / admin / tool должны быть скопированы как минимум в одну другую голову ... если не записаны каким-либо образом.
(сердечный приступ) для одного члена команды.Различные стандарты для различных систем и лабораторий. Это разумно. Я считаю, что, когда пароли необходимо разбить на части, лучше всего, если пароль будет простым, коротким и сообщается устно (лично или по телефону). Я считаю, что единственный пароль, который никогда не следует разглашать, - это пароль моей личной учетной записи. Любые пароли root / admin / tool должны быть скопированы как минимум в одну другую голову ... если не записаны каким-либо образом.
(сердечный приступ) для одного члена команды.Различные стандарты для различных систем и лабораторий. Это разумно. Я считаю, что, когда пароли необходимо разбить на части, лучше всего, если пароль будет простым, коротким и сообщается устно (лично или по телефону). Я считаю, что единственный пароль, который никогда не следует разглашать, - это пароль моей личной учетной записи. Любые пароли root / admin / tool должны быть скопированы как минимум в одну другую голову ... если не записаны каким-либо образом.
Любые пароли root / admin / tool должны быть скопированы как минимум в одну другую голову ... если не записаны каким-либо образом. Любые пароли root / admin / tool должны быть скопированы как минимум в одну другую голову ... если не записаны каким-либо образом.