Sto cercando una soluzione per uno scenario che credo sia un po' insolito: ho un numero significativo di server (centinaia) e una dozzina di persone che devono accedervi con privilegi amministrativi, ma bisognerebbe evitare che queste persone possano annotarsi tutte le password che usano per poi riusarle in seguito "autonomamente".
Il massimo che posso fare è fare accedere queste persone tramite un bastion host. Con i server Linux potrei cavarmela con un programma SUID che gira con UID diverso da quello degli utenti e fornisce username e password con expect, ma farlo bene probabilmente non è banale. Usare chiavi ssh sarebbe da un lato più facile da gestire, ma dovrei comunque scrivere un programma per gestirne la revoca. Conoscete soluzioni già pronte, per uno di questi metodi o altri? Non ho idea di cosa fare per i server Windows, a cui si accede tramite RDP. Per vari motivi non è possibile restringere l'accesso ai server con ACL, VPN e simili, né sono applicabili soluzioni di autorizzazione centralizzata come Kerberos e LDAP. Non è nemmeno possibile cambiare le password periodicamente o cose simili. Non devo preoccuparmi che qualcuno lasci una backdoor. Il nuovo supporto di OpenSSH per le PKI non è applicabile perché spesso i server usano OS vecchi di diversi anni (e rimarrebbe comunque la necessità di gestire la revoca delle chiavi). -- ciao, Marco
signature.asc
Description: Digital signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
