jelszó nyilvántartót keresek

Segédprogramok

Sziasztok!

(Bocs, ha már volt, nem találtam konkrétan ilyen követelményeket.)

Szeretnék egy olyan jelszó nyilvántartót, amely:
- lehetőleg opensource
- lehetőleg ingyenes (vagy nem milliós nagyságrendű)
- menjen webről (más nem kell, ha tudja, nyilván nem hátrány)
- nem feltétel, hogy tudjon magyarul
- tárolhatja fájlban, adatbázisban, lényegtelen, de titkosítva, lehetőleg ne lehessen visszafejteni 5 perc guglizás után
- kezeljen felhasználókat/csoportokat
- előny, ha van beépített jelszó generátora
- csoportonként lehessen szabályozni, hogy ki milyen jelszavakat láthat

- a legfontosabb: a jelszavakat ne mutassa, de ha már "megnyitottam", loggolja, hogy ki nyitotta meg és mikor, előny, ha lehet indoklást fűzni a nyitáshoz

Kb ennyi lenne. Jelenleg borítékokat őrzünk a páncélban, amit jegyzőkönyvben tartunk nyilván, nem épp hatékony, ha hétvégén borul meg egy szerver/app, és sok 100 km-re vagyunk az irodától...

Előre is köszönöm a segítséget!

( ricsipontaz | 2017. 01. 04., sze – 10:56 )

Mi ezt használjuk lassan 2 éve és elégedett vagyunk vele: http://rattic.org/

Magadnak kell hosztolni, ami nálunk pozitívum, és a feltételeidet egy kivételével (a legfájóbbal) teljesíti. Sajnos nem titkosítva tárolja a jelszavakat, ezért ajánlott titkosított fájlrendszeren tárolni az adatbázist. Az oldalon van egy kipróbálható demó, ott megnézhető, hogy mit tud. Ami fájó pont (számunkra), hogy a jelszavak alapértelmezetten nem látszanak (blur), csak kattintásra jelennek meg és ehhez Flash-t használ, de csak ehhez.

( janoszen v | 2017. 01. 04., sze – 11:03 )

Pass. Fapados, open source, GPG alapu, es meg lehet adni mappankent hogy mely masik felhasznalokkal ossza meg a jelszavakat. A jelszo repokat lehet szepen gitben tarolni. Ha kell GUI, akkor a qtpass megteszi.

--
Pásztor János
[i]Sole Proprietor @ Opsbears | Refactor Zone

( msandor v | 2017. 01. 04., sze – 17:14 )

Köszi az eddigi tippeket, meg fogom nézni őket.
Azt nem írtam, de szóba került, az kimondottan előny, ha belső hálózaton tudjuk futtatni, mégis csak érzékeny adatokról van szó.
Én még csak csak lemondanék 1-2 dologról, de a security officernek is jóvá kell hagynia a szoftvert.

Én php alapúnak örülnék a legjobban, de csak elboldogulok a javassal is :-)

This backend type allows a Vault server to issue an OTP every time a client wants to SSH into a remote host, using a helper command on the remote host to perform verification.

An authenticated client requests credentials from the Vault server and, if authorized, is issued an OTP. When the client establishes an SSH connection to the desired remote host, the OTP used during SSH authentication is received by the Vault helper, which then validates the OTP with the Vault server. The Vault server then deletes this OTP, ensuring that it is only used once.

https://www.vaultproject.io/docs/secrets/ssh/

Magyarul a hashicorp vault hasznalhato kozponti auth managerkent - kb mint LDAp vagy vmi hasonlo. Ebben az esetben kepes egyszeri jelszavakat generalni... Magyarul egy szemlyhez kotott tokennel kersz egy jelszot. Aztan azt a jelszot hasznalva belepsz a serverre. A jelszo eldobodik. KOvetkezo belepesre ujra jelszot kell kerned. Mindez auditalva van.

Masik megoldas amit mi is csinalunk hogy Amazon AWS IAM role-okat hasznalva generalunk a vault-al egyszeri kulcsokat kulonfele feladatokra. A feladat vegen a kulcs eldobodik... A vault mindig a kozpont auth manager - vezerli a haterben a serverekre a belepest authorizalast es kifle osztogatja a kulcsokat.

Termeszetesen tud sima jelszokezelo is lenni akar fajlban is tarolhato es van egy rakat pluginja integralasra. A sajat halozaton fut demonkent es pl inditaskor beallithato hogy a vault-ot tulkeppen csak 2 vagy 3 ember egyszerre beirt kulonbozo jelszavaval nyissa. Utana nyilvan ugyanugy autholni kell az interakcihoz vele de az tokenes...

Nem látom benne a fejlődést security szempontból. Sok helyen lyukas lehet ez is. Attól még hogy egy remote host adja az OTP-t egy harmadik host-ra bejelentkezéshez, ugyanúgy lehet kulcs vagy jelszó lopásos támadás feléje is.

Nem lehet hogy a struktúra bonyolításával inkább elveszik a security? Mert eddig az volt, hogy jelszót ne tudja más (a kulcshoz pl.).

"ugyanúgy lehet kulcs vagy jelszó lopásos támadás feléje is."
Eccer valamit meg kell vedeni... A dolgokat a vegtelensegig nem lehet fokozni.
De maga a teny, hogy pl rebootnal kell legalabb 3 ember aki kinyitja a vaultot az osszes cuccra ami benne van sokat segit a securityben. Aztan hogy magat a software-t megtorik - haaat - kerem - Tedd 4 tuzfal moge, meg bastyazd korul es vedd meg a hardware-t is... Ez a vault csak egy eszkoz ami eleg sokoldalu de a best-practices-t meg a halozat biztonsag komoly atgondolasat es tervezeset nem helyettesiti.

Nem reklamozni akarom a cuccot... Ez egy egyszeru svajci bicska amit jol lehet hasznalni - termeszetesen abban az esetben ha az infrastruktura es a biztonsag jol atgondoltan es megtervezetten van felepitve.
Annyiban segit hogy ahelyett hogy 100+ serveren tartanad karban az authot es kiscsillio API kulcsot es certificate-t managelsz minden egy helyen van elzarva. Azt pedig meg kell vedeni - akar ugy hogy az azok a kulcsok amik nyitjak egy pancelszekrenyben vannak elzarva. Abban az esetben pedig ha megborul a vault akkor bizony ki kell nyitni a pancel szekrenyt.
Maganak a szofware-nak a biztonsaga pedig - mint MINDEN napjainkban letezo software-nak - olyan milyen jol megirjak es implementaljak. De szerintem a Hashicorp nem szokott rossz cuccokat irni (vagrant, packer, terraform stb) - pl a terraform az egyik legelterjedted AWS management eszkoz es komoly cegek futtatjak az infrastrukturajukat az alapjain. Egyebkent meg openszosz - nezz bele.

Kulonben nem szukseges hasznalni a OTP-t. Tud ez sima jelszokezelo/Cert raktar/coca-cola-recept raktar is lenni. Nem kell neki managelni az authot, hasznalhato csak tarolasra is.

Nem sok semmivel :)
Viszont az elosztott vedelem megvalosiasaban segithet a vault. Ha beallitasz OTP-t pl es egy olyan secret-et amit csak tobb kulcs egyuttes beirasaval kaphatsz meg akkor megoldhato hogy az adatbazisszerverre csak akkor lehet belepni ha pl 2-3 admin van jelen egyszerre... Stb stb... Persze ezek nem voltak feltetelek az eredeti kerdesben :)

-1, megneztem a kodot es en ettol ovakodnek. Irdatlanul hosszu PHP fajlok kevert PHP, JS es HTML koddal, mindenfele strukturaltsag nelkul. Rengeteg helyen mindenfele escapeles nekul van HTML-be es JS-be kuldve valtozo (potencialis XSS). Raadasul rengeteg helyen kozvetlenul be vannak egetve az mcrypt hivasok, ami 7.1-tol deprecated. Ezen felul egy csomo library csak ugy siman be van masolva a git treebe, tehat ha valamelyikben javitanak valami biztonsagi hibat, arrol a szoftver szerzoje nem is fog tudomast szerezni.

Bad coding practices all over the place.

--
Pásztor János
[i]Sole Proprietor @ Opsbears | Refactor Zone