Drift/Bytte ytre rotpassord: Difference between revisions
< Drift
No edit summary |
No edit summary |
||
| (3 intermediate revisions by 2 users not shown) | |||
| Line 12: | Line 12: | ||
== FØR passordbytte == | == FØR passordbytte == | ||
* Informer [[CERT]] og Driftskoordinator | |||
* Samkjør med andre driftere | |||
* Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel: | * Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel: | ||
** Tett sikkerhetshull | ** Tett sikkerhetshull | ||
| Line 17: | Line 19: | ||
** Kommuniser retningslinjer og råd til driftsmedlemmene | ** Kommuniser retningslinjer og råd til driftsmedlemmene | ||
** Vurder sikkerhetsprosedyrene | ** Vurder sikkerhetsprosedyrene | ||
* Generer et nytt passord | * Generer et nytt passord | ||
** Følg gjeldende råd for passordsikkerhet | ** Følg gjeldende råd for passordsikkerhet | ||
| Line 37: | Line 37: | ||
* Identifiser alle tjenester som skal ha passordet. For eksempel: | * Identifiser alle tjenester som skal ha passordet. For eksempel: | ||
** http://list.pvv.ntnu.no -> Maillinglister som "Aktive" og "Nyhetsbrev" | ** http://list.pvv.ntnu.no -> Maillinglister som "Aktive" og "Nyhetsbrev" | ||
** VM-tjenere som [[Maskiner/ | ** VM-tjenere som [[Maskiner/joshua]] (Ikke de med indre rot) | ||
** (?) PVV-brukeren på noen maskiner (?) | ** (?) PVV-brukeren på noen maskiner (?) | ||
** Homeassistant | ** Homeassistant | ||
** Styrets Google-konto | ** Styrets Google-konto | ||
** root på MariaDB/MySQL på [[Maskiner/bicep]] | |||
== Hvordan bytte passord == | == Hvordan bytte passord == | ||
Latest revision as of 22:23, 2 September 2023
Når skal man bytte passordet
Passordet skal endres i tilfeller der minst ett av punktene under er aktuelle
- CERT mener det skal byttes
- Drift er enige om at det skal byttes
eller
- Passordet har blitt lekket
- Passordet har blitt misbrukt av driftere
- Systemer har vært kompromittert på en slik måte at uvedkomne har fått tilgang
- Det er mistanke om, eller tegn til, noen av situasjonene over
FØR passordbytte
- Informer CERT og Driftskoordinator
- Samkjør med andre driftere
- Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel:
- Tett sikkerhetshull
- Skriv bedre sikkerhetsrutiner
- Kommuniser retningslinjer og råd til driftsmedlemmene
- Vurder sikkerhetsprosedyrene
- Generer et nytt passord
- Følg gjeldende råd for passordsikkerhet
- Unngå vanlige ord og mønster
- Unngå tidsbasert randomness
- Eksempelkommando:
strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 20 | tr -d '\n'; echo
- Identifiser alle maskinene som skal ha passordet og noter i en liste
- Identifiser alle tjenester som skal ha passordet. For eksempel:
- http://list.pvv.ntnu.no -> Maillinglister som "Aktive" og "Nyhetsbrev"
- VM-tjenere som Maskiner/joshua (Ikke de med indre rot)
- (?) PVV-brukeren på noen maskiner (?)
- Homeassistant
- Styrets Google-konto
- root på MariaDB/MySQL på Maskiner/bicep
Hvordan bytte passord
- Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet)
- Kjør kommandoen
passwd
som root for å faktisk gjøre endringen - Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig
- Noter byttet i listen din over maskiner
- Kjør kommandoen
- Logg inn på hver tjeneste som skal ha passordet
Etter passordbytte
- Gi passordet til medlemmer i CERT
- Distribuer *sikkert* til aktive driftere, ved:
- Fysisk oppmøte / muntlig overlevering
- E-post, må være kryptert med PGP eller lignende
- Fil på salt-masteren (root@sleipner:~/rotpassord), tilgjengelig for brukere med admin-principal
- Deling på en sikker "password manager"-tjeneste
Tanker til senere
- Salt kjører som root, lag et script for å bytte passord fra salt-masteren
- Skriv en guide for å få tilgang gjennom "Single User Mode" eller "systemd.debug_shell"
- Lage eller finne et register over PGP-, RSA- eller lignende nøkler for aktive driftere
- Flytt over alle eksterne tjenester til andre passordm ikke gjenbruk dette