Drift/Bytte ytre rotpassord: Difference between revisions
< Drift
(Created page with "== Når skal man bytte passordet == Passordet skal endres i tilfeller der minst ett av punktene under er aktuelle * CERT mener det skal byttes * Drift er enige om at det s...") |
No edit summary |
||
| Line 21: | Line 21: | ||
* Generer et nytt passord | * Generer et nytt passord | ||
** Følg gjeldende råd for passordsikkerhet | ** Følg gjeldende råd for passordsikkerhet | ||
** Unngå vanlige ord og mønster | |||
** Unngå tidsbasert randomness | |||
** Eksempelkommando: | |||
** <pre>strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 20 | tr -d '\n'; echo </pre> | |||
* Identifiser alle maskinene som skal ha passordet og noter i en liste | * Identifiser alle maskinene som skal ha passordet og noter i en liste | ||
** | ** <pre>sleipner:~$ sudo salt-key -L</pre> | ||
** | ** <pre>microbel:~$ ruptime</pre> | ||
** [[Maskiner]] | ** [[Maskiner]] | ||
** Maskinene er vanligvis i en av kategoriene: | ** Maskinene er vanligvis i en av kategoriene: | ||
| Line 41: | Line 45: | ||
* Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet) | * Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet) | ||
** Kjør kommandoen | ** Kjør kommandoen <pre>passwd</pre> som root for å faktisk gjøre endringen | ||
** Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig | ** Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig | ||
** Noter byttet i listen din over maskiner | ** Noter byttet i listen din over maskiner | ||
Revision as of 17:29, 10 October 2022
Når skal man bytte passordet
Passordet skal endres i tilfeller der minst ett av punktene under er aktuelle
- CERT mener det skal byttes
- Drift er enige om at det skal byttes
eller
- Passordet har blitt lekket
- Passordet har blitt misbrukt av driftere
- Systemer har vært kompromittert på en slik måte at uvedkomne har fått tilgang
- Det er mistanke om, eller tegn til, noen av situasjonene over
FØR passordbytte
- Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel:
- Tett sikkerhetshull
- Skriv bedre sikkerhetsrutiner
- Kommuniser retningslinjer og råd til driftsmedlemmene
- Vurder sikkerhetsprosedyrene
- Samkjør med andre driftere
- Informer CERT
- Generer et nytt passord
- Følg gjeldende råd for passordsikkerhet
- Unngå vanlige ord og mønster
- Unngå tidsbasert randomness
- Eksempelkommando:
strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 20 | tr -d '\n'; echo
- Identifiser alle maskinene som skal ha passordet og noter i en liste
- Identifiser alle tjenester som skal ha passordet. For eksempel:
- http://list.pvv.ntnu.no -> Maillinglister som "Aktive" og "Nyhetsbrev"
- VM-tjenere som Maskiner/Joshua (Ikke de med indre rot)
- (?) PVV-brukeren på noen maskiner (?)
- Homeassistant
- Styrets Google-konto
Hvordan bytte passord
- Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet)
- Kjør kommandoen
passwd
som root for å faktisk gjøre endringen - Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig
- Noter byttet i listen din over maskiner
- Kjør kommandoen
- Logg inn på hver tjeneste som skal ha passordet
Etter passordbytte
- Gi passordet til medlemmer i CERT
- Distribuer *sikkert* til aktive driftere, ved:
- Fysisk oppmøte / muntlig overlevering
- E-post, må være kryptert med PGP eller lignende
- Fil på salt-masteren (root@sleipner:~/rotpassord), tilgjengelig for brukere med admin-principal
- Deling på en sikker "password manager"-tjeneste
Tanker til senere
- Salt kjører som root, lag et script for å bytte passord fra salt-masteren
- Skriv en guide for å få tilgang gjennom "Single User Mode" eller "systemd.debug_shell"
- Lage eller finne et register over PGP-, RSA- eller lignende nøkler for aktive driftere
- Flytt over alle eksterne tjenester til andre passordm ikke gjenbruk dette