Il 05/06/2010 9.19, Marco d'Itri ha scritto:
Sto cercando una soluzione per uno scenario che credo sia un po'
insolito: ho un numero significativo di server (centinaia) e una dozzina
di persone che devono accedervi con privilegi amministrativi, ma
bisognerebbe evitare che queste persone possano annotarsi tutte le
password che usano per poi riusarle in seguito "autonomamente".
Il massimo che posso fare è fare accedere queste persone tramite un
bastion host. Con i server Linux potrei cavarmela con un programma SUID
che gira con UID diverso da quello degli utenti e fornisce username e
password con expect, ma farlo bene probabilmente non è banale.
Usare chiavi ssh sarebbe da un lato più facile da gestire, ma dovrei
comunque scrivere un programma per gestirne la revoca.
Conoscete soluzioni già pronte, per uno di questi metodi o altri?
Non ho idea di cosa fare per i server Windows, a cui si accede tramite
RDP.
Per vari motivi non è possibile restringere l'accesso ai server con ACL,
VPN e simili, né sono applicabili soluzioni di autorizzazione
centralizzata come Kerberos e LDAP.
Non è nemmeno possibile cambiare le password periodicamente o cose
simili.
Non devo preoccuparmi che qualcuno lasci una backdoor.
Il nuovo supporto di OpenSSH per le PKI non è applicabile perché spesso
i server usano OS vecchi di diversi anni (e rimarrebbe comunque la
necessità di gestire la revoca delle chiavi).
Ciao Marco,
in questo scenario ti consiglierei di realizzare una soluzione di Single
Sign On in cui, dopo che gli amministratori si sono loggati sulla loro
workstation, attraverso qualche meccanismo gestito centralmente si
loggano con le credenziali che tu decidi su una certa macchina. Per le
windows, potresti preparargli una pagina tipo Terminal Server Web Access
in cui inoltri automaticamente le credenziali del server di turno.
<pubblicità>
Mi permetto di suggerire, dato che la conosco, una tecnologia a
pagamento per farlo. Il vendor è Imprivata e il prodotto si chiama
OneSign. Tramite uno o più appliance dedicati e un agente software a
bordo delle workstation, ti permette di realizzare accesso in SSO a
praticamente quello che vuoi. Le credenziali dei server le invii agli
appliance tramite provisioning. Gli amministratori non le conoscono,
sono inoltrate alle applicazioni da te profilate per conto dell'utente
dall'agente software a bordo della loro workstation
</pubblicità>
In entrambi i casi, penso avrai da divertirti smanettando :)
Ciao!
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
