Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Devenir SysAdmin d’une PME - La gestion des mots de passe

Devenir SysAdmin d’une PME - La gestion des mots de passe

D 28 septembre 2018     H 09:00     A Genma     C 11 messages   Flattr cet article Logo Tipee

TAGS : Planet Libre Sysadmin Keepass

Nouveau billet de ma série "Devenir SysAdmin d’une PME" avec cette fois ci, la gestion des mots de passe.

Dans ce billet, les annuaires ldap et les mots de passe unique pour différentes applications sont exclus de ce billet, je ne parlerai que des mots de passe classique dont a besoin le sysadmin, à savoir les mots de passe compte admin pour les machines et les comptes liés aux services.

Gestion des mots de passe...

Quand j’ai repris le service, la tranmission des mots de passe s’est fait de façon assez simple : export des mots de passe stockés dans Firefox pour tous les mots de passe webs, communication des deux / trois mots de passe (utilisateur et root) utilisés un peu partout, les autres mots de passe étant stockés dans le wiki...

Mais ça c’était avant.

Mise en place d’une gestion des mots de passe

L’ayant fait pour moi-même, il y a quelques années, avec un passage sous Keepaas et la réinitialisation et individualisation de TOUS mes mots de passe, j’ai décidé de faire la même chose. A savoir :

- Mettre en place un conteneur Keepass
- Réinitialiser un à un tous les mots de passe pour chaque outil

Pourquoi Keepass ? Mon objectif était simple : avoir une gestion des mots de passe simple et efficace. Et je connaissais Keepass, quelques-uns des membres de mon équipe le connaissais aussi et l’utilise à titre personnel, nous sommes donc partie sur cet outil.

J’ai donc créer un conteneur, et ajouter un à un les comptes en réinitialisant et regénérant les mots de passe de la taille maximum et aléatoire dans Keepas. Long et fastieux, mais nécessaire. Pour le stockage de façon centralisé, le conteneur Keepas de référence est déposé dans un espace dédidé sur notre instance Gitlab (qui est également utilisée pour ses différents outils en dehors de la gestion du code, voir mon billet Lifehacking - Gitlab, outil idéal ?. Mais il aurait pu tout à fait être envisagé le dépôt du conteneur sur un serveur Nextcloud et avoir une synchronisation avec le client sur les différents PC des collaborateurs ayant besoin de ces mots de passe.

Si c’est à refaire et ce qu’il reste à améliorer...

Le problème n’est pas dans le partage : les personnes qui doivent connaître la phrase de passe ont également accès au dépôt Gitlab. Pour gérer des besoins plus fins, nous avons créer différents conteneurs Keepass, un par service, pour gérer des niveaux et cloisonner les mots de passe. Le problème est dans la gestion des conflits : il faut se coordonner quand on doit mettre à jour le contenu d’une base Keepaas. On ne peut pas être deux à ajouter un compte ou modifier un mot de passe, il faut le faire à tour de rôle...

Sur ce point, je commence donc à regarder du côté des autres outils, avec un mode web / en ligne et j’ai identifié deux outils :
- HashiCorp Vault (Billet annonçant cet outil) par la société qui est derrière Vagrant, Terraform...
- Bitwarden une alternative à LastPass, en mode web
- Nextcloud - Passman

Et il y a également les bonnes pratiques pour les mots de passes root des machines. Les connexions aux serveurs du parc se font via SSH avec une connexion par clef et des droits "sudo", mais il y a des comptes root sur des machines pour lesquelles je n’ai pas encore définie de politique de gestion des mots de passe (il faut que je me renseigne sur l’état de l’art à ce sujet).

Les mots de passes des comptes et applications webs eux sont plus faciles à gérer / changer, mais il faut trouver un bon équilibre dans la rotation des mots de passe (Keepass proposant de définir des dates d’expiration, cela aide bien) et c’est une tâche longue et fastidieuse à planifier régulièrement...

 Les Tags - mots clefs de ce article

logo clef

 Vous aimez cet article? Soutenez le blog et partagez-le ;-)

Logo Tipee Flattr icon  Facebook icon  Twitter icon  Diapora icon   Licence Creative Commons

11 Messages

Un message, un commentaire ?
modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Conférences

Médiathèques vous recherchez un conférencier sur l’éducation populaire et l’hygiène numérique? Jetez un coup d’oeil à mon CV

Date des prochaines conférences?
Cliquer ici

Rechercher sur le blog

Liens

Logo Flattr Logo Gmail Logo Twitter
Logo RSS Logo Linkedin Logo GitHub
Logo Gitlab Logo Mastodon
Logo Diaspora

Soutenir ce blog?

Logo Tipee Logo Liberapay

Licence

Licence Creative Commons

Derniers articles

1.  Retour d’expérience avec Borg comme outil de sauvegarde

2.  Illang : The Wolf Brigade sur Netflix

3.  Un exemple des problématiques de design et d’interface du logiciel libre

4.  Anisong le podcast

5.  Soucis d’encodage dans les noms de fichiers

6.  L’Agent Zabbix qui ne répond plus

7.  Devenir SysAdmin d’une PME - De l’importance de l’expérience

8.  Devenir SysAdmin d’une PME - De l’importance du retex suite à un incident

9.  La série Good Doctor

10.  Nextcloud et l’application Notes


Date de mise à jour :

Le 10 décembre 2018