Sysadmin密码存储

Question

我在系统管理员区很缺乏经验。现在，我面临着管理两个(远程)服务器的响应能力。我在一个非正式的组织里工作。

所以我有操作系统用户的密码，数据库用户等等。

我希望能够安全地存储访问信息，以防别人取代我的位置。

现在，我对如何以及在何处存储这些信息表示怀疑。我的第一个想法是使用gpg加密文件并将其保存在云中，例如google驱动器，但出于某种原因，我认为这不是一个好方法。

关于如何解决这个问题，是否有良好的/标准的实践？

Answer 1

我使用KeePass存储敏感信息，并有一些与同事共享的密码数据库。它是免费的、开源的，在我的工作中得到了安全人员的批准，并且可以在没有安装的情况下运行(这意味着我们不仅可以拥有密码数据库，还可以在我们的服务器上拥有实际的应用程序-新同事不需要安装新的软件就可以访问密码)。

我/我们使用一个主密码，这当然是敏感信息。KeePass也可以与密钥文件一起使用(然后应该单独存储该文件)。

这种方法的优点之一是可以将密码数据库传递给其他人，例如“与他人共享”和“我将此留给您”。

备份密码数据库很重要，因为如果数据库丢失，您将丢失所有密码。对于我个人的东西，我有一个备份使用Dropbox。在工作中我们有一个内部备份正在运行。(Dropbox并不是我最喜欢的，因为它允许我访问美国当局，但我认为我的密码是安全的，因为它们是以一种很强的方式加密的。)

编辑: KeePass有插件，允许在浏览器中自动粘贴密码。我不使用这些，因为让另一个应用程序自动读取我的密码的想法.坏的。我发现其他一些应用程序(比如iPhone上的Strongbox )非常有用。

Answer 2

我敢给出一个低科技的答案吗？

把细节写在一张纸上。把它封存在信封里，交给你组织中值得信赖的人。

Answer 3

在我目前的工作中，我们使用KeePass，正如伊坦卡洛所描述的那样。

在前一个团队中，我们使用了黑盒，这是一个使用PGP加密git存储库中的秘密文件的工具。这和你最初的想法非常相似。最大的问题可能是找到工作中的PGP机构的同事。

根据我的经验，这两种选择对少数用户群体都有好处。使用多个组、层次结构或自动化变得更加复杂；例如，中心管理员、多个产品团队和Jenkins服务器都可以访问不同的凭据。在这种情况下，我认识一个团队，他们决定将所有东西都转移到AWS秘密管理器中，以便使用那里的访问控制策略。