Deployment

如何在多伺服器環境中管理憑據

  • June 25, 2013

我有一些軟體使用自己的加密文件進行密碼儲存(如ftp、web等密碼登錄外部系統,沒有辦法使用證書)。

在每台伺服器上,我都有這個軟體的幾個實例,每個實例都有自己的密碼文件。

目前,伺服器的數量一直在增長,並且管理所有最新實例上的所有密碼變得越來越困難。

不幸的是,一些伺服器位於隔離網路中,它們無法訪問某些集中式儲存,但反之亦然。

我的第一個想法是創建一個 git 儲存庫,用 gpg 加密每個密碼並將其儲存在那裡並在部署系統中傳遞,但安全團隊對這個想法並不滿意,因為即使在加密視圖中將密碼儲存在儲存庫中也是不安全的(從他們的話)。

我的腦海裡沒有類似的東西。有沒有辦法以最小的努力來管理所有最新的密碼,以實現安全可靠的密碼儲存?

附言。如果這很重要,我到處都有紅帽。

你可以看看FreeIPA,它使用 LDAP 和 kerberos 來驗證使用者。這是一個相當完整和龐大的系統,但它確實有效。

以下是Wikipedia所寫的一些內容:

FreeIPA 是 Red Hat 贊助的開源項目,旨在提供易於管理的身份、策略和審計 (IPA) 套件,主要針對 Linux 和 Unix 電腦網路。FreeIPA 可以與 Novell 的 Identity Manager 或 Microsoft 的 Active Directory 進行比較,因為它們使用的目標和機制是相似的。

引用自:https://serverfault.com/questions/517238