Drift/Bytte ytre rotpassord: Difference between revisions

From Programvareverkstedet
(Created page with "== Når skal man bytte passordet == Passordet skal endres i tilfeller der minst ett av punktene under er aktuelle * CERT mener det skal byttes * Drift er enige om at det s...")
 
No edit summary
Line 21: Line 21:
* Generer et nytt passord
* Generer et nytt passord
** Følg gjeldende råd for passordsikkerhet
** Følg gjeldende råd for passordsikkerhet
** Unngå vanlige ord og mønster
** Unngå tidsbasert randomness
** Eksempelkommando:
** <pre>strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 20 | tr -d '\n'; echo </pre>
* Identifiser alle maskinene som skal ha passordet og noter i en liste
* Identifiser alle maskinene som skal ha passordet og noter i en liste
** ```sleipner:~$ sudo salt-key -L```
** <pre>sleipner:~$ sudo salt-key -L</pre>
** ```microbel:~$ ruptime```
** <pre>microbel:~$ ruptime</pre>
** [[Maskiner]]
** [[Maskiner]]
** Maskinene er vanligvis i en av kategoriene:
** Maskinene er vanligvis i en av kategoriene:
Line 41: Line 45:


* Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet)
* Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet)
** Kjør kommandoen ```passwd``` som root for å faktisk gjøre endringen
** Kjør kommandoen <pre>passwd</pre> som root for å faktisk gjøre endringen
** Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig
** Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig
** Noter byttet i listen din over maskiner
** Noter byttet i listen din over maskiner

Revision as of 17:29, 10 October 2022

Når skal man bytte passordet

Passordet skal endres i tilfeller der minst ett av punktene under er aktuelle

  • CERT mener det skal byttes
  • Drift er enige om at det skal byttes

eller

  • Passordet har blitt lekket
  • Passordet har blitt misbrukt av driftere
  • Systemer har vært kompromittert på en slik måte at uvedkomne har fått tilgang
  • Det er mistanke om, eller tegn til, noen av situasjonene over

FØR passordbytte

  • Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel:
    • Tett sikkerhetshull
    • Skriv bedre sikkerhetsrutiner
    • Kommuniser retningslinjer og råd til driftsmedlemmene
    • Vurder sikkerhetsprosedyrene
  • Samkjør med andre driftere
  • Informer CERT
  • Generer et nytt passord
    • Følg gjeldende råd for passordsikkerhet
    • Unngå vanlige ord og mønster
    • Unngå tidsbasert randomness
    • Eksempelkommando:
    • strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 20 | tr -d '\n'; echo 
  • Identifiser alle maskinene som skal ha passordet og noter i en liste
    • sleipner:~$ sudo salt-key -L
    • microbel:~$ ruptime
    • Maskiner
    • Maskinene er vanligvis i en av kategoriene:
      • Terminaler på terminalrommet
      • Andre maskiner i lokalene (Tallulah, skrott, ameno, etc.)
      • Fysiske servere på serverrommet som ikke har indre rotpassord
      • VMer på alle VM-tjenere i Maskiner
  • Identifiser alle tjenester som skal ha passordet. For eksempel:
    • http://list.pvv.ntnu.no -> Maillinglister som "Aktive" og "Nyhetsbrev"
    • VM-tjenere som Maskiner/Joshua (Ikke de med indre rot)
    • (?) PVV-brukeren på noen maskiner (?)
    • Homeassistant
    • Styrets Google-konto

Hvordan bytte passord

  • Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet)
    • Kjør kommandoen
      passwd
      som root for å faktisk gjøre endringen
    • Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig
    • Noter byttet i listen din over maskiner
  • Logg inn på hver tjeneste som skal ha passordet

Etter passordbytte

  • Gi passordet til medlemmer i CERT
  • Distribuer *sikkert* til aktive driftere, ved:
    • Fysisk oppmøte / muntlig overlevering
    • E-post, må være kryptert med PGP eller lignende
    • Fil på salt-masteren (root@sleipner:~/rotpassord), tilgjengelig for brukere med admin-principal
    • Deling på en sikker "password manager"-tjeneste


Tanker til senere

  • Salt kjører som root, lag et script for å bytte passord fra salt-masteren
  • Skriv en guide for å få tilgang gjennom "Single User Mode" eller "systemd.debug_shell"
  • Lage eller finne et register over PGP-, RSA- eller lignende nøkler for aktive driftere
  • Flytt over alle eksterne tjenester til andre passordm ikke gjenbruk dette