Devenir SysAdmin d’une PME - La gestion des mots de passe
28 septembre 2018 09:00 11 messagesTAGS : Planet Libre Sysadmin Keepass
Nouveau billet de ma série "Devenir SysAdmin d’une PME" avec cette fois ci, la gestion des mots de passe.
Dans ce billet, les annuaires ldap et les mots de passe unique pour différentes applications sont exclus de ce billet, je ne parlerai que des mots de passe classique dont a besoin le sysadmin, à savoir les mots de passe compte admin pour les machines et les comptes liés aux services.
Gestion des mots de passe...
Quand j’ai repris le service, la tranmission des mots de passe s’est fait de façon assez simple : export des mots de passe stockés dans Firefox pour tous les mots de passe webs, communication des deux / trois mots de passe (utilisateur et root) utilisés un peu partout, les autres mots de passe étant stockés dans le wiki...
Mais ça c’était avant.
Mise en place d’une gestion des mots de passe
L’ayant fait pour moi-même, il y a quelques années, avec un passage sous Keepaas et la réinitialisation et individualisation de TOUS mes mots de passe, j’ai décidé de faire la même chose. A savoir :
– Mettre en place un conteneur Keepass
– Réinitialiser un à un tous les mots de passe pour chaque outil
Pourquoi Keepass ? Mon objectif était simple : avoir une gestion des mots de passe simple et efficace. Et je connaissais Keepass, quelques-uns des membres de mon équipe le connaissais aussi et l’utilise à titre personnel, nous sommes donc partie sur cet outil.
J’ai donc créer un conteneur, et ajouter un à un les comptes en réinitialisant et regénérant les mots de passe de la taille maximum et aléatoire dans Keepas. Long et fastieux, mais nécessaire. Pour le stockage de façon centralisé, le conteneur Keepas de référence est déposé dans un espace dédidé sur notre instance Gitlab (qui est également utilisée pour ses différents outils en dehors de la gestion du code, voir mon billet Lifehacking - Gitlab, outil idéal ?. Mais il aurait pu tout à fait être envisagé le dépôt du conteneur sur un serveur Nextcloud et avoir une synchronisation avec le client sur les différents PC des collaborateurs ayant besoin de ces mots de passe.
Si c’est à refaire et ce qu’il reste à améliorer...
Le problème n’est pas dans le partage : les personnes qui doivent connaître la phrase de passe ont également accès au dépôt Gitlab. Pour gérer des besoins plus fins, nous avons créer différents conteneurs Keepass, un par service, pour gérer des niveaux et cloisonner les mots de passe. Le problème est dans la gestion des conflits : il faut se coordonner quand on doit mettre à jour le contenu d’une base Keepaas. On ne peut pas être deux à ajouter un compte ou modifier un mot de passe, il faut le faire à tour de rôle...
Sur ce point, je commence donc à regarder du côté des autres outils, avec un mode web / en ligne et j’ai identifié deux outils :
– HashiCorp Vault (Billet annonçant cet outil) par la société qui est derrière Vagrant, Terraform...
– Bitwarden une alternative à LastPass, en mode web
– Nextcloud - Passman
Et il y a également les bonnes pratiques pour les mots de passes root des machines. Les connexions aux serveurs du parc se font via SSH avec une connexion par clef et des droits "sudo", mais il y a des comptes root sur des machines pour lesquelles je n’ai pas encore définie de politique de gestion des mots de passe (il faut que je me renseigne sur l’état de l’art à ce sujet).
Les mots de passes des comptes et applications webs eux sont plus faciles à gérer / changer, mais il faut trouver un bon équilibre dans la rotation des mots de passe (Keepass proposant de définir des dates d’expiration, cela aide bien) et c’est une tâche longue et fastidieuse à planifier régulièrement...
Dans la même rubrique
15 janvier 2019 – Secure-delete
28 septembre 2018 – Devenir SysAdmin d’une PME - La gestion des mots de passe
2 mai 2018 – Bureau à distance Google Chrome
10 avril 2018 – Coffre-fort de mot de passe : état des lieux
20 mars 2018 – Silence vs signal quelle combinaison ?
11 Messages
Devenir SysAdmin d’une PME - La gestion des mots de passe, h2tp | 28 septembre 2018 - 09:54 1
Pourquoi pas Nextcloud + keeweb pour la gestion des fichiers keepass en mode web ?
Devenir SysAdmin d’une PME - La gestion des mots de passe, Xala | 28 septembre 2018 - 10:19 2
Hello !
Je suis surpris de ne pas voir keeweb comme solution dans ton scope d’améliorations !
Perso, j’avais commencé par le déployer pour mon infra personnelle (nous sommes plusieurs admin) puis j’ai mis en place une seconde instance à disposition de mes utilisateurs. Pour finalement le déployer au boulot.
Tout le monde en est très satisfait. C’est pratique, c’est chez nous et c’est du kdbx classique. Aussi, par souci de cloisonnement, nous avons opté pour un fichier kdbx par client. Ainsi, si ce dernier change de prestataire, il nous suffit juste de donner cet unique fichier au nouvel infogerent. Rien à faire si ce n’est vérifier son contenu.
Par contre, la secu de la machine herbergeant le keeweb ne doit pas être fait à la légère. Même si c’est en interne.
Passbolt ?, nimbu | 28 septembre 2018 - 10:29 3
tu as un avis sur Passbolt ?
https://www.passbolt.com/
on envisage de le mettre en place dans ma société. Etant auto hébergable et multi utilisateurs.
C’est difficile de trouver aussi bon que KeePass en multi utilisateur.
Devenir SysAdmin d’une PME - La gestion des mots de passe, Akipe | 28 septembre 2018 - 10:32 4
Salut ! Je trouve tes articles sur les différents problèmes et solutions d’un sysadmin supers intéressants ! J’ai hâte de lire la suite :-)
Ton article m’a donné envie de chercher un gestionnaire de mot de passe orienté entreprise. J’utilise personnellement KeepassXC + Keepass2Android, mais j’aurai eu du mal à mettre en place cette solution pour une utilisation multi utilisateur.
Après quelques recherches, notamment sur https://alternativeto.net/software/... je suis tombé sur ce logiciel : TeamPass (sur https://teampass.net)
Je crois que c’est un service web auto-hébergé, ça a l’air gratuit et open source, et ils ont une image Docker. D’après les captures d’écran, tu peux gérer finement l’accès aux mots de passes pour les utilisateurs, avec des rôles etc. Par contre je ne crois pas qu’ils aient d’applications mobiles et l’interface n’est pas très sexy.
Je n’ai jamais utilisé ce logiciel, donc à voir si c’est adapté pour ton cas ;-)
Devenir SysAdmin d’une PME - La gestion des mots de passe, Shazen | 28 septembre 2018 - 10:56 5
Pour la gestion des mots de passe en équipe il y a Passbolt https://www.passbolt.com/ que tu peux installer sur ton propre serveur.
Le partage de mots de passe peut se faire par utilisateur ou par groupe d’utilisateurs avec gestion des droits (lecture / écriture).
Gestion des conflits avec Keepass, Lapinou | 28 septembre 2018 - 11:03 6
Bonjour Genma,
je ne comprends pas très bien ce passage :
"Le problème est dans la gestion des conflits : il faut se coordonner quand on doit mettre à jour le contenu d’une base Keepaas. On ne peut pas être deux à ajouter un compte ou modifier un mot de passe, il faut le faire à tour de rôle...".
Keepass permet des choses assez fines pour synchroniser des bases entre plusieurs utilisateurs (voir https://keepass.info/help/v2/sync.html), ça ne répond pas au besoin ?
Hoplà !
Devenir SysAdmin d’une PME - La gestion des mots de passe, Matthieu V | 28 septembre 2018 - 11:45 7
Je me permets de commenter pour te faire part de l’existence de Passbolt, une webapp luxembourgesoise de gestion de mots de passe d’équipe, audité, qui repose sur PGP pour la sécurisation.
Keeweb, Gaël | 28 septembre 2018 - 13:47 8
Bonjour Genma,
étant moi-même développeur amené à gérer l’infrastructure de mon entreprise, j’ai été confronté au même problème.
Nous sommes parti sur Keeweb qui utilise du webdav pour synchroniser la base de mot de passe.
Par soucis de simplicité nous avons installé keeweb via docker (2 container), mais je me pose la question de la sécurité de cette solution.
Il gère les conflits de modification, supporte l’utilisation de plusieurs bases.
Le problème restant étant la gestion de droits d’accès différents par utilisateur. Nous avons pour l’instant créé des bases différentes en fonction des niveaux désiré.
Nous avons réalisé un changement du mot de passe root des machine "semi-automatique" avec un script python, salt et keepass-cli
Devenir SysAdmin d’une PME - La gestion des mots de passe, Gaël | 28 septembre 2018 - 13:49 9
Ah et le fichier keepass et une archive du wiki (gitlab aussi) sont exportés tous les jours et sauvegardés sur une clé usb en cas de crash des serveur
Devenir SysAdmin d’une PME - La gestion des mots de passe, propositionjoe | 28 septembre 2018 - 17:22 10
Salut,
Et pour quoi ne pas donner une chance à password store,
Avec des applis sous linux, windows et android,
Qui est basé sur gpg (+1 pour la fiabilité),
Se synchronise par git (l’instance existe déjà apparemment),
Et permet le multi utilisateur simplement (chaque clé gpg déchiffre les mot de passe que l’on autorise) ?
À+
Devenir SysAdmin d’une PME - La gestion des mots de passe, rc | 30 septembre 2018 - 12:16 11
Salut,
Pourquoi pas https://nos-oignons.net/wiki-admin/...
C’est juste un exemple. Avantage :
– tout repose sur du gpg ;
– gestion très fine des droits, chaque utilisateurs ne voit vraiment que ce à quoi il a droit ;
– utilise git ;
– en ligne de commande.