LINUX.ORG.RU
ФорумAdmin

Как и в чём Вы ведете документацию и храните пароли?

 , ,


0

3

Интересно, в чём и как ЛОР-админы ведут документацию хранят пароли.

>>>>P.S. Админам локалхоста (если, конечно, у Вас не с десяток своих серверов) посьба не отписываться. Мы и так знаем, что Вы используете keepassx и два текстовых документа.<<<<

Прошу при ответе заполнить вопросник:
1. Сколько хостов/устройств в базе (примерно) (аккаунты внешних сервисов и не-рут аккаунты не считаются)?
2. Где храните пароли (софт)? Как структурируете?
3. Где храните документацию (софт)? Как структурируете?
4. Какие есть проблемы при использовании текущих баз?

Пример ответа (тут мой ответ на мой же вопрос :) ):
1. Около 100.
2. keepassx.
3. Часть в keepassx, часть с doc/xls/odt-файлах в структурированном виде типа дерево: Документация/Организация/Проект/Сервер/документ, Документация/Организация/Проект/документ.
4. keepassx никак не интегрирован с документацией (вкладывать в его БД документы не вариант из-за неудобной работы и размера). Максимум можно указать адрес файла/каталога документации.

Если есть большое количество сущностей на один мета-объект, то получается либо нужно иметь дерево с большим количеством именовынных ветвей и объектов, либо всё писать плейнтекстом в комментарий к основному объекту.

Пример: имеется сервер виртуализации, к нему есть пароли и логины, есть заметки по его настройке, есть вложенные в него виртуальные машины, у которых тоже есть логины, заметки, но ещё и может быть несколько сервисов на каждой виртуалке, уже со своими заметками и логинами.

{Комментарий}
Никто не знает, можно ли в keepassx добавлять свои поля?

☆☆☆

Последнее исправление: ktulhu666 (всего исправлений: 1)
Ответ на: комментарий от Deleted

Что ж Вы так то? Не проще сразу на pastebin пароли выкладывать, вместо слива в облако? Кстати, Вы на винде сидите?

ktulhu666 ☆☆☆
() автор топика

1. Сколько хостов/устройств в базе (примерно) (аккаунты внешних сервисов и не-рут аккаунты не считаются)?

Не совсем понял, что значит внешние сервисы? Всего порядка сотни всякого хлама, но это скорее «внешние сервисы», на своих серверах везде по ключам авторизация.

2. Где храните пароли (софт)? Как структурируете?

keepass2

3. Где храните документацию (софт)? Как структурируете?

zim+dropbox, google docs, всякие корпоративные вики

4. Какие есть проблемы при использовании текущих баз?

Никаких. Иначе бы не пользовался ими :)

Никто не знает, можно ли в keepassx добавлять свои поля?

В keepass2 точно можно.

generator ★★★
()
Ответ на: комментарий от Deleted

А вы сидите на проприетарной системе и чувствуете себя защищенным?

Когда это убунта и гента стали проприетарными?

ktulhu666 ☆☆☆
() автор топика

Ну давай я тебе по-существу отвечу:

1. около 100 + куча паролей от сервисов + сертификаты + лицензионные ключи

2. keepassx2 - или как там его? В общем оно и под lin через mono работает, и нативно на винде.

3. софт храню на cifs, бекапов пока не делаю)) Руки не добрались... Для документации использую dokuwiki - в целом не плохая, но плоховато работает с подсветкой кода в firefox (тормозит), и очень уж через жёпу там картники загружаются... Но зато умеет ldap, и не требует СУБД. И отличные плагины для экспорта в pdf умеет.

4. проблемы с мультидоступом. Базу держим на шаре, шарим её на три компьютера. Периодически она мёржится через жЁпу из-за чего становится нулевого размера. - Поднимаем с бекапа. Ещё Keepassx2, очень через жёпу работает с линуксовым буфером обмена, и вообще не нативен.

Уже много лет жду, когда же допилят teampass, чтобы свалиться с этого убогого keepassx2.

И да: в кейпасе, нет авторизации, только аутотентификация - а это полное, и безоговорочное дерьмо. В teampass всё это есть. Но он ОЧЕНЬ, ОЧЕНЬ глючный был несколько лет назад. Сейчас я так смотрю не особо там дела лучше... php... Мать его. Ихний баг трекер кишит ЭПИЧНЫМИ багами.

P.S. была ещё консольная утилита pass, но похоже её забросили. :(

DALDON ★★★★★
()
Последнее исправление: DALDON (всего исправлений: 1)

С какой целью интересуетесь, товарищ майор?

anonymous
()

Вы используете keepassx

Почему это? Нигде не храню, все пароли генерирую из мастер-паролей по особому алгоритму, мастер-пароли тоже сгенерированы по особому алгоритму. Алгоритмы достаточно просты для выполнения в голове за приемлемое время.

MiniRoboDancer ★☆
()
Ответ на: комментарий от anonymous

Слушай, а я что-то на асилил, как мне представь, что у меня уже есть pass база. Как мне Васе дать доступ только на два пароля из базы? - P.S. Вася мне свой ключ закрытый доверять не намерян. - Как быть?

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

3. софт храню на cifs, бекапов пока не делаю)) Руки не добрались...

Руки бы Вам оторвать за отсутсвие бекапов. :) md5sum-файлы то хоть есть?

Ихний баг трекер кишит ЭПИЧНЫМИ багами.

А именно? Вообще если требуется командная работа, то, судя по скриншотам, ничего так. Но однозначно нужен отдельный сервер за NAT+openvpn+смарткарты, т.к. php+web - это жопа в плане безопасности.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от snaf

Всем хорош Perl Auto Connector, но! Он хранит пароли в открытом виде, и он ну никак не умеет командно работать... - У вас получилось командно с ним жить? Я сейчас смотрю всё больше и больше в сторону .ssh/config - если попилить, грамотная тема. :)

DALDON ★★★★★
()
Ответ на: комментарий от ktulhu666

А именно? Вообще если требуется командная работа, то, судя по скриншотам, ничего так.

Это было ЭПИЧНО... Поиск не работал. Импорт не работал. Половину паролей оно срезало... - Ну то есть кладёшь туда одно... А достаёшь тыкву... Это была версия кажется 16я, или может пораньше... Не помню. Но это было прям ну мегаэпично.

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

Он хранит пароли в открытом виде

мне на это плевать. В основном пользуюсь им с работы, а там всё нормально

У вас получилось командно с ним жить?

Командно это как?

snaf ★★★★★
()
Ответ на: комментарий от snaf

Эм... Ну есть три системных администратора. Как сделать так, чтобы при появлении нового узла, все трое смогли им пользоваться, без ручного добавления? И без ручного импорта с кого-то одного... У них уже 100 лет висит тикет на запрос поддержки СУБД как хранилища коннектов, но воз и ныне там... А программа, то ведь крайне годная!

DALDON ★★★★★
()
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от snaf

мне на это плевать. В основном пользуюсь им с работы, а там всё нормально

Плевать на безопасность на работе, или там нет доступа в интернеты?

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от DALDON

Ну есть три системных администратора.

Да, да, знаем. :) И все без IT-директора.
http://i.i.ua/photo/images/pic/4/0/2379404_3e1ff1c4.jpg

А программа, то ведь крайне годная!

Пароли без шифрования - это вещь крайне негодная. :)

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Плевать на безопасность на работе, или там нет доступа в интернеты?

там не проходной двор чтобы кто то пришёл и незаметно стырил мой жёсткий диск.

snaf ★★★★★
()
Ответ на: комментарий от ktulhu666

Пароли без шифрования - это вещь крайне негодная. :)

используй ключи, кто тебе мешает? Шифруй раздел с программой. Было бы желание...

snaf ★★★★★
()
Ответ на: комментарий от DALDON

Как сделать так, чтобы при появлении нового узла, все трое смогли им пользоваться, без ручного добавления?

поднять контроллер домена/ldap или что то в этом духе. Но это уже другая тема.

snaf ★★★★★
()

1. Несколько тысяч
2. http://thycotic.com/products/secret-server/
3. Confluence
4. В Secret Server проблемы с поиском и массовыми операциями, но в целом терпеть можно.

Личную бодягу храню в keepassx, базу синхронизирую через owncloud.

alex_the_v ★★★
()
Последнее исправление: alex_the_v (всего исправлений: 1)
Ответ на: комментарий от snaf

там не проходной двор чтобы кто то пришёл и незаметно стырил мой жёсткий диск.

Правильно ли я понимаю, что дома (в противоположность работе) у Вас проходной двор?

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Примерно треть - Соляра разных версий, половина - шапка пятая-шестая-седьмая, остальное - Виндовс.

Мне? Абсолютно не страшно, это не мои проблемы. Конфлюенс, кстати, офигенен, как и джира.

alex_the_v ★★★
()
Ответ на: комментарий от alex_the_v

Конфлюенс, кстати, офигенен, как и джира.

В чём офигенность, в сравнении, например, с редмайном и медиавики?

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от alex_the_v

После того как в Confluence убрали возможность отключить WYSIWYG-режим редактирования и писать по-человечески, он умер.

И они ещё имели наглость подать это как «фичу» релиза.

alpha ★★★★★
()
Ответ на: комментарий от alpha

А чем WYSIWYG-режим так плох? Или он реализован настолько криво, что проще тэги форматирования вручную проставить?

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Или он реализован настолько криво, что проще тэги форматирования вручную проставить?

Какие теги форматирования, когда сто лет как достаточно стандартного markdown?

И любой WYSIWYG реализован криво. По определению. Достаточно взять какой-нибудь двухуровневый список и попытаться в нем поменять местами пару элементов. А в confluence там ещё, например, формат заголовка имеет обычновения применяться к абзацу, а не к строке, и monospace.

Пока напишешь пять строчек текста - всё проклянешь.

alpha ★★★★★
()
Ответ на: комментарий от alpha

Когда редактируешь статью, есть кнопка «Open in Source Editor», которая открывает маркап. Кроме этого можно вставить фрагмент «Wiki Markup», а можно просто клепать вики-маркапом, а оно тебе будет на лету переформатировать.

alex_the_v ★★★
()
Последнее исправление: alex_the_v (всего исправлений: 1)
Ответ на: комментарий от ktulhu666

Редмайн я особо не видел, поэтому не знаю толком. Кстати, скоро придется близко познакомиться. Медиавики крива, как моя жизнь. Пруфов не будет.

alex_the_v ★★★
()
Ответ на: комментарий от ktulhu666

Нормально реализован, просто иногда бывайт проще поправить в маркапе какую-то сложную ситуацию.

alex_the_v ★★★
()
Ответ на: комментарий от alpha

формат заголовка имеет обычновения применяться к абзацу, а не к строке, и monospace

Мнеее... Щито?

alex_the_v ★★★
()
Ответ на: комментарий от snaf

ты за советом пришёл? или потролить?

Обычно приятное с полезным совмещаю. :)

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Ну а как ещё? Не вижу ни рыбы, ни щуки... Есть ряд серверов. Всем туда +/- надо ходить... Так же и с паролями.

DALDON ★★★★★
()
Ответ на: комментарий от alex_the_v

Да, mediawiki - это было адово в своё время...

DALDON ★★★★★
()
Ответ на: комментарий от snaf

Другая тема..? Ну-ну... Посмотри на конфигу PAC, и представь себе её имплементацию с ldap...

DALDON ★★★★★
()

ты охерел что ли?
в текстовых файлах, конечно.

darkenshvein ★★★★★
()

1. Сколько хостов/устройств в базе (примерно) (аккаунты внешних сервисов и не-рут аккаунты не считаются)?

Админю только во время проведения CTF, поэтому в эти моменты ~5. В остальное время пара домашних серверов.

2. Где храните пароли (софт)?

Нигде. Использую только аутентификацию по открытому ключу.

Как структурируете?

Лютый и адовый ~/.ssh/config, который стараюсь иногда чистить.

3. Где храните документацию (софт)?

Комментарии в том же ~/.ssh/config

Как структурируете?

Никак, лол. C-s спасает.

4. Какие есть проблемы при использовании текущих баз?

Понятия не имею, как оно поведет себя на >100 хостов.

Пример: имеется сервер виртуализации, к нему есть пароли и логины, есть заметки по его настройке, есть вложенные в него виртуальные машины, у которых тоже есть логины, заметки, но ещё и может быть несколько сервисов на каждой виртуалке, уже со своими заметками и логинами.

Может помочь sshconfigfs, или include в ~/.ssh/config (https://bugzilla.mindrot.org/attachment.cgi?id=2274&action=diff).

Deleted
()
Ответ на: комментарий от alex_the_v

а оно тебе будет на лету переформатировать.

Именно что. И работает это в одну сторону: получить исходный wiki-markup обратно для редактирования уже нельзя. Читать тут:

https://confluence.atlassian.com/display/DOC/Confluence Wiki Markup

«Open in Source Editor»

Такой кнопки в confluence нет. Есть плагин типа этого

https://marketplace.atlassian.com/plugins/com.atlassian.confluence.plugins.ed...

Но редактировать html после того как написал в markdown - это какое-то изощренное издевательство.

alpha ★★★★★
()
Ответ на: комментарий от Deleted

Ссылка не работает. Поправьте скобку с точкой на конце.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от DALDON

Как мне Васе дать доступ только на два пароля из базы? - P.S. Вася мне свой ключ закрытый доверять не намерян. - Как быть?

Правильный вариант: Пинаешь Васю в ленивую жопу, чтобы он завёл себе собственные учётки.

Неправильный вариант: Берёшь два пароля, даёшь Васе. Опционально можешь зашифровать их его открытым ключём.

В чём проблема-то?

anonymous
()
Ответ на: комментарий от alpha

И они ещё имели наглость подать это как «фичу» релиза.

В устах гномоюзера звучит ужасающе.

anonymous
()
Ответ на: комментарий от anonymous

Правильный вариант: Пинаешь Васю в ленивую жопу, чтобы он завёл себе собственные учётки.

Не распарсил... :( Как он заведёт собственные учётки то без меня? Файлы же зашифрованны мной... Я просто может не как не уловлю концепта... Плиз, чуть ещё разжуй...

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

Концепт такой. У тебя есть пароли. Эти пароли твои и ты их никому не даёшь.

Допустим у тебя есть учётка на лоре и пароль от неё. Вася хочет запостить чего-то на лоре и просит у тебя пароль. Ты ему отвечаешь: «Нет, Вася, ты ленивая жопа, делай свою собственную учётку.» Ибо заводить одну учётку на всех чревато геморроидальными шишками.

А если тебе всё-же приспичило дать Васе какой-то пароль, то ты читаешь его из своей базы и даёшь Васе.

anonymous
()
Ответ на: комментарий от anonymous

Ну я так и думал... То есть pass, это ни разу, не team решение, а standalone решение... Просто они туда накрутили git, и можно случайно, подумать, что это team решение, но на практике я стал понимать, что это похоже не так. Спасибо тебе большое, что потрудился для меня разъяснить. К сожалению, я был прав. :(

DALDON ★★★★★
()
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от DALDON

Просто они туда накрутили git, и можно случайно, подумать, что это team решение,

Таки нет, гит там хранит историю изменений. Прав доступа не предусмотрено.

Разъясни теперь ты мне, как эти team решения могут вообще работать? Пароли хранятся нешифроваными?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.