কয়েক হাজার সার্ভারের রুট পাসওয়ার্ড পরিচালনা করার সবচেয়ে ভাল সমাধান কী

12

আমি সিস্টেম অ্যাডমিনিস্ট্রেটর। উত্পাদনের পরিবেশে আমার কয়েক হাজার সার্ভার পরিচালনা করা দরকার। আমি এবং আমার সহকর্মীরা একটি কেন্দ্রীয় পরিচালনা সার্ভার ব্যবহার করি এবং অন্যান্য সার্ভারের মাধ্যমে এর সর্বজনীন কী বিতরণ করি। সুতরাং আমরা এই সার্ভারটি অন্য সার্ভারগুলিতে প্রেরণে ব্যবহার করতে পারি।

কখনও কখনও আমাদের রুট পাসওয়ার্ড ব্যবহার করা প্রয়োজন, উদাহরণস্বরূপ যখন সার্ভারটি ডাউন থাকে তখন কারণ নির্ধারণের জন্য আমাদের আইএলও ব্যবহার করতে হবে।

বর্তমানে, আমরা একটি ভাগ করা রুট পাসওয়ার্ড ব্যবহার করি। এটি অনিরাপদ। আমি কিছু একক সার্ভার সমাধানের মতো OPIE(সমস্ত কিছুতে ওয়ান-টাইম পাসওয়ার্ডগুলিতে) তাকালাম , তবে আমাদের যেহেতু অনেকগুলি সার্ভার রয়েছে তাই এটি খুব ভাল ধারণা নয়।

সম্পাদনা করুন:

পাসওয়ার্ড পরিচালনার সমাধান থেকে আমি যা চাই তা হ'ল:

এটি নিরাপদ হওয়া উচিত, সুতরাং ওয়ান-টাইম পাসওয়ার্ড একটি দুর্দান্ত সমাধান।
পাসওয়ার্ডটি সহজেই প্রবেশ করা যেতে পারে, কখনও কখনও আমাদের সার্ভারের সাথে মনিটর বা আইএলওর সাথে সংযুক্ত করা প্রয়োজন যা আমি উপরে উল্লেখ করেছি।
সমাধানটি সার্ভার অফলাইন থাকা অবস্থায়ও কাজ করা উচিত (কোনও নেটওয়ার্ক সংযোগ ছাড়াই)

সুতরাং রুট পাসওয়ার্ডটিকে দীর্ঘ এবং এলোমেলো স্ট্রিংয়ে সেট করা খুব ভাল ধারণা নয় যদিও এটি কিছু পরিচিত কমান্ড (যেমন openssl passwd) থেকে উত্পন্ন হয়েছে । এটি মনে রাখা শক্ত এবং কখনও কখনও এটি উত্পন্ন করা শক্ত হয় (আমার ল্যাপটপটি ছাড়া)

linux root password

— yegle
সূত্র

1

আপনি কি পুতুলের মতো কনফিগারেশন ম্যানেজমেন্ট সিস্টেমটি ইতিমধ্যে ব্যবহার করছেন? আপনি কি ব্যবহার করছেন?

— জোরডাচি

পুতুল ++ এর জন্য।

— টম ও'কনোর

আমরা সিফেনজিন ব্যবহার করি :-)

— ই

5

আপনি আপনার সমস্ত সার্ভারে পাসওয়ার্ড পরিবর্তন ঠেকাতে পুতুল ব্যবহার করতে পারেন । আপনি টাইপটি এভাবে rootব্যবহার করে সংজ্ঞায়িত করবেন :user

    user { 'root':
            ensure => present,
            password => '$1$blablah$blahblahblahblah',
    }

এনক্রিপ্ট করা পাসওয়ার্ড তৈরি করতে:

openssl passwd -1 -salt "blah"

আমি সম্ভবত প্রতি মাস বা তাই এটি পরিবর্তন করার পরামর্শ দিচ্ছি --- সম্ভবত আপনার এসএ মুখস্থ করা এমন কোনও স্কিম ব্যবহার করে। আপনি এটি কোনও সুরক্ষিত পদ্ধতির মাধ্যমে বিতরণ করতে পারেন বা এটি একটি নিরাপদে রাখতে পারেন।

— বেলমিন ফার্নান্দেজ
সূত্র

3

আপনি সবসময় কেবলমাত্র একটি অক্ষম পাসওয়ার্ড সেট করতে পারেন। এটি রুটে কোনও নেটওয়ার্ক অ্যাক্সেসকে আটকাতে পারে এবং আপনি যদি একক ব্যবহারকারী-মোডে বুট করেন তবে বেশিরভাগ বিতরণ সরাসরি শেল থেকে বুট হবে।

এটি সম্ভবত কোনও সুরক্ষা সমস্যার পক্ষে এতটা বড় নয় যতটা আপনার মনে হতে পারে। রুট পাসওয়ার্ডটিকে বাইপাস করা তুচ্ছ, আপনি যদি পাসওয়ার্ড দিয়ে গ্রাব লক না করে থাকেন তবে কেউ কেউ আরআরডির পরিবর্তে গ্রাবকে বলতে শুরু করতে পারে না।

অবশ্যই এর অর্থ হতে পারে যে এর পরিবর্তে আপনার বুট-লোডারকে পাসওয়ার্ড কীভাবে সুরক্ষিত করা উচিত তা সন্ধান করা উচিত।

— Zoredache
সূত্র

0

আপনি কেন্দ্রীয় ব্যবস্থাপনার সাথে এককালীন পাসওয়ার্ড ব্যবহার করতে পারেন। আমি জানি, এটি "যখন নীতি অফলাইন থাকে এবং সার্ভারের আইএলওতে অ্যাক্সেস করা থাকে তখন অবশ্যই কাজ করবে" এর সাথে এটি খাপ খায় না।

যাইহোক: প্রশ্নটি হল, সার্ভারটি প্রায়শই অফলাইনে থাকে।

সুতরাং আপনি নিম্নলিখিত সেটআপ সম্পর্কে ভাবতে পারেন:

প্রাইভেসিডিয়ার মতো একটি কেন্দ্রীয়ভাবে পরিচালিত ওটিপি সমাধান ব্যবহার করুন ( http://www.privacyidea.org )। আপনি রুট ব্যবহারকারীকে বিভিন্ন আলাদা ওটিপি টোকেন বরাদ্দ করতে পারেন। প্রতিটি টোকেনের একটি আলাদা ওটিপি পিন থাকে এবং এটি একটি পৃথক ডিভাইস। সুতরাং আপনার সমস্ত সহকর্মী ব্যবহারকারী রুট হিসাবে লগইন করতে পারবেন তবে নিরীক্ষার লগে আপনি দেখতে পাবেন কোন টোকেনটি অনুমোদনপ্রাপ্ত, তাই আপনি জানতে পারবেন কোন সময়ে কোন সহকর্মী লগ ইন করেছে।

সার্ভারগুলিতে আপনাকে রেডিয়াস এবং প্রাইভেসিআইডিএর অনুমোদনের অনুরোধটি পাস করার জন্য পাম_রাডিয়াস কনফিগার করতে হবে।

হতাশাজনক। এখন আপনার সার্ভারটি অফলাইন হয়। এই ক্ষেত্রে আপনার প্যাম স্ট্যাকের সাথে খেলা উচিত। আমি এরকম কিছু সম্পর্কে ভাবতে পারি:

auth sufficient pam_unix.so
auth required pam_radius.so use_first_pass

যাতে আপনি একটি নির্দিষ্ট পাসওয়ার্ড অফলাইনে লগইন করতে পারেন এবং অন্যথায় পাসওয়ার্ডটি পাম_রাডিয়াসের হাতে চলে যায় এবং প্রাইভেসিআইডিএর বিরুদ্ধে ওটিপি হিসাবে বৈধ হয়ে যায়।

এই কীভাবে https://www.howtoforge.com/manage-two-factor-authentication-in-your-serverfarm-with-privacyidea দেখুন ।

— cornelinux
সূত্র