Kamil Kisiel Asked: 2009-07-14 10:50:33 +0800 CST2009-07-14 10:50:33 +0800 CST 2009-07-14 10:50:33 +0800 CST 您是否对每个设备使用相同的 root 密码? 772 这与密码最佳实践有关,但更具体。 您是否对组织中的所有服务器使用相同的 root 密码?对于一类设备? password 13 个回答 Voted Best Answer Evan Anderson 2009-07-14T11:05:33+08:002009-07-14T11:05:33+08:00 我想说“是的,无处不在”,但在某些情况下仍然是“不”。我的公司正在使用 Password Safe来为我们的客户管理密码,为每个客户创建“保险箱”。许多客户为 root、本地管理员、设备等设置了唯一的随机分配密码。不幸的是,一些客户(由于之前的供应商所做的工作,或者由于我们的懒惰)可能在多个设备或多个设备上使用相同的密码服务器计算机。 对于我的个人密码,我有兴趣转移到像Passwordmaker这样的实用程序,它采用“主密码”和其他一些事实(网站名称、用户名等)并从安全哈希函数创建一个随机密码。只要您知道您的“主密码”和“其他事实”,您就可以在每次需要时使用该软件重新生成您的密码(即密码永远不会存储在任何地方,无论是加密的、明文的还是其他方式)。 我还没有找到一个可以满足我所有需求的公司密码“保管”工具: 从浏览器作为 UI 进行基于 SSL 的访问 LDAP 身份验证,基于 LDAP 组成员身份访问数据库中的密码的权限。 维护每个用户访问的密码的审计跟踪(所以我知道当有人离开公司时要更改什么)。 可配置的密码过期通知基于用户(即“使'bob'自我们解雇他以来使用过的每个密码过期”)、基于密码上次设置的日期或基于访问密码的唯一用户数(“整个服务台、IT 部门和清洁人员都访问了这个密码——让它过期。”) 每个密码的元数据,包括在到期时通过电子邮件通知的一方、创建日期、最后更改日期、注释。 可选的插件系统,允许密码系统本身连接到系统并自动更新过期密码。 理想情况下在基于 Windows 或 Linux 的网络服务器上运行,可能使用 sqlite 作为后端。 我愿意在这样的项目上投入资金或开发时间,但我从来没有发现任何可以接近或想要花时间来实现它的东西。 Geoff Fritz 2009-07-14T11:02:42+08:002009-07-14T11:02:42+08:00 我使用 SSH 密钥,对所有服务器使用相同的密钥,并在我的密钥文件上维护一个良好的密码。省了很多麻烦。 对于这不起作用的设备,我会使用具有难以猜测的核心的密码,然后使用设备的 dns 名称、IP 或其他常见特征(例如操作系统或品牌)来制作密码设备独有。这对类似设备组特别有效。只需将模式/助记符与核心一起保密,您就会拥有一个难以记住的独特密码。 Vinko Vrsalovic 2009-07-14T10:52:56+08:002009-07-14T10:52:56+08:00 没有永不。我所做的帮助助记符是有一个长的(12 个字符左右)公共前缀,如果它们在同一个机架中(或者你认为是一组服务器),则由每个服务器的中等长度属性(6 个字符)修改,这应该根据需要访问来确定(请参阅 Ernie 的评论和我的回答))。 例如,如果服务器组由mercury(10.0.1.1,smtp),mars(10.0.1.2,firewall),bacchus(10.0.1.3,web)组成,公共前缀是R%%SDO23jfida,那么 - mercury: R%%SDO23jfida11001mersmtp - mars: R%%SDO23jfida21001marfirewall - bacchus: R%%SDO23jfida31001bacweb Cian 2009-07-14T11:05:27+08:002009-07-14T11:05:27+08:00 每台机器都有不同的密码,但我们将它们全部保存在 pwsafe 中。PITA 向上看,但阻止了我们 pwnd 的一次违规行为。 Darius 2009-07-14T21:38:42+08:002009-07-14T21:38:42+08:00 在我工作的组织中使用的那个: 桌面/本地 PC 管理员密码都是相同的(但由于我们要对所有机器进行重影,这是唯一的方法,如果有人找到该密码,我们仍然可以更改我们的初始重影图像,并更新所有机器接收新图像,我们会没事的。 每个服务器都有不同的密码。再说一次,我们不会处理太多的服务器,如果我没记错的话,我可以访问大约 6 个(但我相信我们有更多),而且他们没有设置过于复杂的密码,而是选择了简单易记的密码密码,添加合理的 |eet5peak 给他们,让他们真的很长(但同样,容易记住):) 我个人认为对于台式电脑,您希望保持 root / admin 密码相同,以确保使用本地管理员帐户轻松管理。 对于服务器,最好是不同的,以确保如果有漏洞,它纯粹包含在该服务器上,并且不会进一步。此外,密码复杂性将取决于服务器的重要性(即保留用户/通行证的服务器将具有最高复杂性,保留日志的服务器将具有较低复杂性等)。 我的5c Chad Huneycutt 2009-07-14T11:05:06+08:002009-07-14T11:05:06+08:00 我们确实在任何地方都使用相同的 root 密码,尽管它遵循最佳实践(实际上是随机生成的)。仅在我们必须亲自动手操作机器的情况下才需要它,例如在妥协后进行文件系统检查或取证。与 Geoff 一样,ssh 是唯一的远程访问协议,并且对 root 用户禁用。 rjewell 2009-07-14T16:01:14+08:002009-07-14T16:01:14+08:00 我们在每个盒子上使用一个随机生成的延迟长密码,我们从不将其保存在任何地方。普通用户身份验证是通过 LDAP 管理的,Sudoers 也是如此,所以我们唯一需要密码的时候是网络访问不工作时,在这种情况下,完全可以关闭服务器并使用单用户,修复网络配置, 并将其恢复。 hdanniel 2009-07-14T11:06:05+08:002009-07-14T11:06:05+08:00 不,我上一个工作中的一个策略是为同一网络中的设备共享一个通用生成的密码,并添加一个分隔符和一些与 IP 地址或设备类型相关的字符。例如: myc0mm0npa$$w0rd.105 myc0mm0npa$$w0rd.web 但还是没有安全感。我现在要做的是为每个服务器或设备生成不同的 root 密码。 Arjan 2009-07-14T11:39:19+08:002009-07-14T11:39:19+08:00 汞:R%%SDO23jfida11001mersmtp 火星:R%%SDO23jfida21001mar 防火墙酒神 :R%%SDO23jfida31001bacw myc0mm0npa$$w0rd.105 myc0mm0npa$$w0rd.web 我见过很多人这样做,但没有人能解释这比使用相同的密码更安全。是什么让任何看到其中一个密码的人无法弄清楚其他密码?唯一的优势似乎是不同的哈希值,但不同机器上的不同盐也解决了这个问题。 有人可以启发我吗? Ernie 2009-07-14T11:40:37+08:002009-07-14T11:40:37+08:00 考虑到密码是最后一道防线,我想说它不像以前那么重要了。 然而,你最不需要的就是在你的办公室里运行一些雅虎,这更常见。 我们的密码策略是使用一个难以猜测的公共前缀,然后为每类服务器使用一个公共密码。这减少了我必须记住的密码数量,同时保护其他服务器免受“错误”的影响。然而,与 Vinko 不同的是,我们不使用任何集成与机器相关的任何内容的系统。我不建议这样做,因为一旦组织内的任何人都可以访问一个密码(因为他们需要它),他们就可以很容易地找出其他密码。 我记录所有 root 登录并让错误过滤器(在我的情况下为 logcheck)将它们传递到我的电子邮件中,以便我知道何时有人试图破解 root 密码。限制可以从哪里完成,确保我的电子邮件不会被这些日志填满。
我想说“是的,无处不在”,但在某些情况下仍然是“不”。我的公司正在使用 Password Safe来为我们的客户管理密码,为每个客户创建“保险箱”。许多客户为 root、本地管理员、设备等设置了唯一的随机分配密码。不幸的是,一些客户(由于之前的供应商所做的工作,或者由于我们的懒惰)可能在多个设备或多个设备上使用相同的密码服务器计算机。
对于我的个人密码,我有兴趣转移到像Passwordmaker这样的实用程序,它采用“主密码”和其他一些事实(网站名称、用户名等)并从安全哈希函数创建一个随机密码。只要您知道您的“主密码”和“其他事实”,您就可以在每次需要时使用该软件重新生成您的密码(即密码永远不会存储在任何地方,无论是加密的、明文的还是其他方式)。
我还没有找到一个可以满足我所有需求的公司密码“保管”工具:
我愿意在这样的项目上投入资金或开发时间,但我从来没有发现任何可以接近或想要花时间来实现它的东西。
我使用 SSH 密钥,对所有服务器使用相同的密钥,并在我的密钥文件上维护一个良好的密码。省了很多麻烦。
对于这不起作用的设备,我会使用具有难以猜测的核心的密码,然后使用设备的 dns 名称、IP 或其他常见特征(例如操作系统或品牌)来制作密码设备独有。这对类似设备组特别有效。只需将模式/助记符与核心一起保密,您就会拥有一个难以记住的独特密码。
没有永不。我所做的帮助助记符是有一个长的(12 个字符左右)公共前缀,如果它们在同一个机架中(或者你认为是一组服务器),则由每个服务器的中等长度属性(6 个字符)修改,这应该根据需要访问来确定(请参阅 Ernie 的评论和我的回答))。
例如,如果服务器组由mercury(10.0.1.1,smtp),mars(10.0.1.2,firewall),bacchus(10.0.1.3,web)组成,公共前缀是R%%SDO23jfida,那么
每台机器都有不同的密码,但我们将它们全部保存在 pwsafe 中。PITA 向上看,但阻止了我们 pwnd 的一次违规行为。
在我工作的组织中使用的那个:
桌面/本地 PC 管理员密码都是相同的(但由于我们要对所有机器进行重影,这是唯一的方法,如果有人找到该密码,我们仍然可以更改我们的初始重影图像,并更新所有机器接收新图像,我们会没事的。
每个服务器都有不同的密码。再说一次,我们不会处理太多的服务器,如果我没记错的话,我可以访问大约 6 个(但我相信我们有更多),而且他们没有设置过于复杂的密码,而是选择了简单易记的密码密码,添加合理的 |eet5peak 给他们,让他们真的很长(但同样,容易记住):)
我个人认为对于台式电脑,您希望保持 root / admin 密码相同,以确保使用本地管理员帐户轻松管理。
对于服务器,最好是不同的,以确保如果有漏洞,它纯粹包含在该服务器上,并且不会进一步。此外,密码复杂性将取决于服务器的重要性(即保留用户/通行证的服务器将具有最高复杂性,保留日志的服务器将具有较低复杂性等)。
我的5c
我们确实在任何地方都使用相同的 root 密码,尽管它遵循最佳实践(实际上是随机生成的)。仅在我们必须亲自动手操作机器的情况下才需要它,例如在妥协后进行文件系统检查或取证。与 Geoff 一样,ssh 是唯一的远程访问协议,并且对 root 用户禁用。
我们在每个盒子上使用一个随机生成的延迟长密码,我们从不将其保存在任何地方。普通用户身份验证是通过 LDAP 管理的,Sudoers 也是如此,所以我们唯一需要密码的时候是网络访问不工作时,在这种情况下,完全可以关闭服务器并使用单用户,修复网络配置, 并将其恢复。
不,我上一个工作中的一个策略是为同一网络中的设备共享一个通用生成的密码,并添加一个分隔符和一些与 IP 地址或设备类型相关的字符。例如:
但还是没有安全感。我现在要做的是为每个服务器或设备生成不同的 root 密码。
我见过很多人这样做,但没有人能解释这比使用相同的密码更安全。是什么让任何看到其中一个密码的人无法弄清楚其他密码?唯一的优势似乎是不同的哈希值,但不同机器上的不同盐也解决了这个问题。
有人可以启发我吗?
考虑到密码是最后一道防线,我想说它不像以前那么重要了。
然而,你最不需要的就是在你的办公室里运行一些雅虎,这更常见。
我们的密码策略是使用一个难以猜测的公共前缀,然后为每类服务器使用一个公共密码。这减少了我必须记住的密码数量,同时保护其他服务器免受“错误”的影响。然而,与 Vinko 不同的是,我们不使用任何集成与机器相关的任何内容的系统。我不建议这样做,因为一旦组织内的任何人都可以访问一个密码(因为他们需要它),他们就可以很容易地找出其他密码。
我记录所有 root 登录并让错误过滤器(在我的情况下为 logcheck)将它们传递到我的电子邮件中,以便我知道何时有人试图破解 root 密码。限制可以从哪里完成,确保我的电子邮件不会被这些日志填满。