想象一下,我们在一个大约 5 人的团队中工作。我们每个月都会安装新服务器,并且需要找到一种更好的方法来存储和共享服务器凭据(离线位置/网络地址、root 登录、db 登录……),整个团队都可以访问它们,阅读/写。该位置不必通过互联网访问,但如果有人可以提供安全的方式来访问,则可以。
眼下:
在团队中存储和共享凭据的安全和最佳实践是什么?
只有纸?Samba 与文件共享?仅作为电子邮件?某种数据库?第三方软件?
您的问题很常见,通常称为特权帐户/用户/身份管理,简称 PAM/PUM/PIM/PxM。
Keepass 肯定是一种经常使用的解决方案,但从安全性、合规性和审计的角度来看,它并不是最好的。由于您是一个五人团队,因此很难判断您是否必须遵守任何政策。但如果你必须这样做,商业解决方案将是值得研究的。它不仅涉及密码管理和跨团队共享密码,还涉及个人问责制、报告等。
所以真的取决于你的要求,走什么路。根据我的经验,我可以告诉您,在企业环境中使用了许多不同的方法,从安全位置的纸张开始,到共享文件。特别是关于共享、电子邮件或其他“在线”存储上的文件,请始终记住,可能有一些管理员能够访问那些不打算访问的人。
HTH。
我们正在使用一个 gnupg 加密的明文文件,该文件由 git 分发和版本控制。每个管理员都可以解密
如果配置错误的加密操作,Git 会拯救你。
对于桌面上的使用,我只能建议 kubunutu 的工具:
我可以想象,Windows 也有类似的工具。您可以访问https://www.gnupg.org/related_software/swlist.html进行第一次概述
KeePass 适用于相对静态的密码或动态条目。有关详细信息,请参阅密码库 - 企业。
我还为默认共享帐户(例如本地管理员)找到了一个非常有用的选项(替代方案?)。将您的密码副本推送到 SMB 共享或使用 SCP(使用审计访问和加密)非常适合家庭 brew 解决方案。
安排每日/每小时/等更改,审核对密码文件和登录事件的访问,并且您可以准确了解登录者的历史记录。
LastPass 或 1Password 似乎是不错的解决方案,因为它们的在线解决方案比 KeePass 之类的离线解决方案更容易更新。更好的溢价然后你用它设置一个令牌,但我不确定这是否适用于共享。离线密码管理器必须在团队之间同步,因为您每个人都添加到它,并且可能最终导致相同的问题。
同时,这比您当前的流程要好;然而,这不是一个长期的解决方案。最终,您将需要一个组织范围的解决方案来存放和保护该信息。您可以控制的东西,可以满足您组织的需求。这意味着什么取决于您的可用资源,我敢打赌,这些资源太有限,无法负担一个完全充实的系统。这为您提供了廉价的短期解决方案。但我想我们都已经习惯了。