Как и в чём Вы ведете документацию и храните пароли?

Lastpass

*мимооператорпечихолокоста*

Что ж Вы так то? Не проще сразу на pastebin пароли выкладывать, вместо слива в облако? Кстати, Вы на винде сидите?

1. Сколько хостов/устройств в базе (примерно) (аккаунты внешних сервисов и не-рут аккаунты не считаются)?

Не совсем понял, что значит внешние сервисы? Всего порядка сотни всякого хлама, но это скорее «внешние сервисы», на своих серверах везде по ключам авторизация.

2. Где храните пароли (софт)? Как структурируете?

keepass2

3. Где храните документацию (софт)? Как структурируете?

zim+dropbox, google docs, всякие корпоративные вики

4. Какие есть проблемы при использовании текущих баз?

Никаких. Иначе бы не пользовался ими :)

Никто не знает, можно ли в keepassx добавлять свои поля?

В keepass2 точно можно.

А вы сидите на проприетарной системе и чувствуете себя защищенным?

А вы сидите на проприетарной системе и чувствуете себя защищенным?

Когда это убунта и гента стали проприетарными?

Ну давай я тебе по-существу отвечу:

1. около 100 + куча паролей от сервисов + сертификаты + лицензионные ключи

2. keepassx2 - или как там его? В общем оно и под lin через mono работает, и нативно на винде.

3. софт храню на cifs, бекапов пока не делаю)) Руки не добрались... Для документации использую dokuwiki - в целом не плохая, но плоховато работает с подсветкой кода в firefox (тормозит), и очень уж через жёпу там картники загружаются... Но зато умеет ldap, и не требует СУБД. И отличные плагины для экспорта в pdf умеет.

4. проблемы с мультидоступом. Базу держим на шаре, шарим её на три компьютера. Периодически она мёржится через жЁпу из-за чего становится нулевого размера. - Поднимаем с бекапа. Ещё Keepassx2, очень через жёпу работает с линуксовым буфером обмена, и вообще не нативен.

Уже много лет жду, когда же допилят teampass, чтобы свалиться с этого убогого keepassx2.

И да: в кейпасе, нет авторизации, только аутотентификация - а это полное, и безоговорочное дерьмо. В teampass всё это есть. Но он ОЧЕНЬ, ОЧЕНЬ глючный был несколько лет назад. Сейчас я так смотрю не особо там дела лучше... php... Мать его. Ихний баг трекер кишит ЭПИЧНЫМИ багами.

P.S. была ещё консольная утилита pass, но похоже её забросили. :(

С какой целью интересуетесь, товарищ майор?

P.S. есть ещё консольная утилита pass, её допилили.

Пофиксил.

Вы используете keepassx

Почему это? Нигде не храню, все пароли генерирую из мастер-паролей по особому алгоритму, мастер-пароли тоже сгенерированы по особому алгоритму. Алгоритмы достаточно просты для выполнения в голове за приемлемое время.

Слушай, а я что-то на асилил, как мне представь, что у меня уже есть pass база. Как мне Васе дать доступ только на два пароля из базы? - P.S. Вася мне свой ключ закрытый доверять не намерян. - Как быть?

документация + пароли xwiki
пароли + логины + ip адреса хранятся в perl auto connector'e

3. софт храню на cifs, бекапов пока не делаю)) Руки не добрались...

Руки бы Вам оторвать за отсутсвие бекапов. :) md5sum-файлы то хоть есть?

Ихний баг трекер кишит ЭПИЧНЫМИ багами.

А именно? Вообще если требуется командная работа, то, судя по скриншотам, ничего так. Но однозначно нужен отдельный сервер за NAT+openvpn+смарткарты, т.к. php+web - это жопа в плане безопасности.

Всем хорош Perl Auto Connector, но! Он хранит пароли в открытом виде, и он ну никак не умеет командно работать... - У вас получилось командно с ним жить? Я сейчас смотрю всё больше и больше в сторону .ssh/config - если попилить, грамотная тема. :)

А именно? Вообще если требуется командная работа, то, судя по скриншотам, ничего так.

Это было ЭПИЧНО... Поиск не работал. Импорт не работал. Половину паролей оно срезало... - Ну то есть кладёшь туда одно... А достаёшь тыкву... Это была версия кажется 16я, или может пораньше... Не помню. Но это было прям ну мегаэпично.

Он хранит пароли в открытом виде

мне на это плевать. В основном пользуюсь им с работы, а там всё нормально

У вас получилось командно с ним жить?

Командно это как?

Эм... Ну есть три системных администратора. Как сделать так, чтобы при появлении нового узла, все трое смогли им пользоваться, без ручного добавления? И без ручного импорта с кого-то одного... У них уже 100 лет висит тикет на запрос поддержки СУБД как хранилища коннектов, но воз и ныне там... А программа, то ведь крайне годная!

мне на это плевать. В основном пользуюсь им с работы, а там всё нормально

Плевать на безопасность на работе, или там нет доступа в интернеты?

Ну есть три системных администратора.

Да, да, знаем. :) И все без IT-директора.
http://i.i.ua/photo/images/pic/4/0/2379404_3e1ff1c4.jpg

А программа, то ведь крайне годная!

Пароли без шифрования - это вещь крайне негодная. :)

Плевать на безопасность на работе, или там нет доступа в интернеты?

там не проходной двор чтобы кто то пришёл и незаметно стырил мой жёсткий диск.

Пароли без шифрования - это вещь крайне негодная. :)

используй ключи, кто тебе мешает? Шифруй раздел с программой. Было бы желание...

Как сделать так, чтобы при появлении нового узла, все трое смогли им пользоваться, без ручного добавления?

поднять контроллер домена/ldap или что то в этом духе. Но это уже другая тема.

1. Несколько тысяч
2. http://thycotic.com/products/secret-server/
3. Confluence
4. В Secret Server проблемы с поиском и массовыми операциями, но в целом терпеть можно.

Личную бодягу храню в keepassx, базу синхронизирую через owncloud.

там не проходной двор чтобы кто то пришёл и незаметно стырил мой жёсткий диск.

Правильно ли я понимаю, что дома (в противоположность работе) у Вас проходной двор?

2. http://thycotic.com/products/secret-server/
3. Confluence

И не страшно анальный зонд себе в ынтерпрайз пихать? Или у Вас и так там всё на винде?

Примерно треть - Соляра разных версий, половина - шапка пятая-шестая-седьмая, остальное - Виндовс.

Мне? Абсолютно не страшно, это не мои проблемы. Конфлюенс, кстати, офигенен, как и джира.

Откуда вы достали этот тупняк?

Откуда вы достали этот тупняк?

Ну из Вашей же логики следует. :)

Конфлюенс, кстати, офигенен, как и джира.

В чём офигенность, в сравнении, например, с редмайном и медиавики?

После того как в Confluence убрали возможность отключить WYSIWYG-режим редактирования и писать по-человечески, он умер.

И они ещё имели наглость подать это как «фичу» релиза.

А чем WYSIWYG-режим так плох? Или он реализован настолько криво, что проще тэги форматирования вручную проставить?

Или он реализован настолько криво, что проще тэги форматирования вручную проставить?

Какие теги форматирования, когда сто лет как достаточно стандартного markdown?

И любой WYSIWYG реализован криво. По определению. Достаточно взять какой-нибудь двухуровневый список и попытаться в нем поменять местами пару элементов. А в confluence там ещё, например, формат заголовка имеет обычновения применяться к абзацу, а не к строке, и monospace.

Пока напишешь пять строчек текста - всё проклянешь.

ты за советом пришёл? или потролить?

Когда редактируешь статью, есть кнопка «Open in Source Editor», которая открывает маркап. Кроме этого можно вставить фрагмент «Wiki Markup», а можно просто клепать вики-маркапом, а оно тебе будет на лету переформатировать.

Редмайн я особо не видел, поэтому не знаю толком. Кстати, скоро придется близко познакомиться. Медиавики крива, как моя жизнь. Пруфов не будет.

Нормально реализован, просто иногда бывайт проще поправить в маркапе какую-то сложную ситуацию.

формат заголовка имеет обычновения применяться к абзацу, а не к строке, и monospace

Мнеее... Щито?

ты за советом пришёл? или потролить?

Обычно приятное с полезным совмещаю. :)

Ну а как ещё? Не вижу ни рыбы, ни щуки... Есть ряд серверов. Всем туда +/- надо ходить... Так же и с паролями.

Да, mediawiki - это было адово в своё время...

Другая тема..? Ну-ну... Посмотри на конфигу PAC, и представь себе её имплементацию с ldap...

ты охерел что ли?
в текстовых файлах, конечно.

1. Сколько хостов/устройств в базе (примерно) (аккаунты внешних сервисов и не-рут аккаунты не считаются)?

Админю только во время проведения CTF, поэтому в эти моменты ~5. В остальное время пара домашних серверов.

2. Где храните пароли (софт)?

Нигде. Использую только аутентификацию по открытому ключу.

Как структурируете?

Лютый и адовый ~/.ssh/config, который стараюсь иногда чистить.

3. Где храните документацию (софт)?

Комментарии в том же ~/.ssh/config

Как структурируете?

Никак, лол. C-s спасает.

4. Какие есть проблемы при использовании текущих баз?

Понятия не имею, как оно поведет себя на >100 хостов.

Пример: имеется сервер виртуализации, к нему есть пароли и логины, есть заметки по его настройке, есть вложенные в него виртуальные машины, у которых тоже есть логины, заметки, но ещё и может быть несколько сервисов на каждой виртуалке, уже со своими заметками и логинами.

Может помочь sshconfigfs, или include в ~/.ssh/config (https://bugzilla.mindrot.org/attachment.cgi?id=2274&action=diff).

а оно тебе будет на лету переформатировать.

Именно что. И работает это в одну сторону: получить исходный wiki-markup обратно для редактирования уже нельзя. Читать тут:

https://confluence.atlassian.com/display/DOC/Confluence Wiki Markup

«Open in Source Editor»

Такой кнопки в confluence нет. Есть плагин типа этого

https://marketplace.atlassian.com/plugins/com.atlassian.confluence.plugins.ed...

Но редактировать html после того как написал в markdown - это какое-то изощренное издевательство.

Ссылка не работает. Поправьте скобку с точкой на конце.

Как мне Васе дать доступ только на два пароля из базы? - P.S. Вася мне свой ключ закрытый доверять не намерян. - Как быть?

Правильный вариант: Пинаешь Васю в ленивую жопу, чтобы он завёл себе собственные учётки.

Неправильный вариант: Берёшь два пароля, даёшь Васе. Опционально можешь зашифровать их его открытым ключём.

В чём проблема-то?

И они ещё имели наглость подать это как «фичу» релиза.

В устах гномоюзера звучит ужасающе.

Правильный вариант: Пинаешь Васю в ленивую жопу, чтобы он завёл себе собственные учётки.

Не распарсил... :( Как он заведёт собственные учётки то без меня? Файлы же зашифрованны мной... Я просто может не как не уловлю концепта... Плиз, чуть ещё разжуй...

Концепт такой. У тебя есть пароли. Эти пароли твои и ты их никому не даёшь.

Допустим у тебя есть учётка на лоре и пароль от неё. Вася хочет запостить чего-то на лоре и просит у тебя пароль. Ты ему отвечаешь: «Нет, Вася, ты ленивая жопа, делай свою собственную учётку.» Ибо заводить одну учётку на всех чревато геморроидальными шишками.

А если тебе всё-же приспичило дать Васе какой-то пароль, то ты читаешь его из своей базы и даёшь Васе.

Ну я так и думал... То есть pass, это ни разу, не team решение, а standalone решение... Просто они туда накрутили git, и можно случайно, подумать, что это team решение, но на практике я стал понимать, что это похоже не так. Спасибо тебе большое, что потрудился для меня разъяснить. К сожалению, я был прав. :(

Просто они туда накрутили git, и можно случайно, подумать, что это team решение,

Таки нет, гит там хранит историю изменений. Прав доступа не предусмотрено.

Разъясни теперь ты мне, как эти team решения могут вообще работать? Пароли хранятся нешифроваными?