Drift/Bytte ytre rotpassord: Difference between revisions
< Drift
No edit summary |
(Update with feedback) |
||
Line 12: | Line 12: | ||
== FØR passordbytte == | == FØR passordbytte == | ||
* Informer [[CERT]] og Driftskoordinator | |||
* Samkjør med andre driftere | |||
* Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel: | * Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel: | ||
** Tett sikkerhetshull | ** Tett sikkerhetshull | ||
Line 17: | Line 19: | ||
** Kommuniser retningslinjer og råd til driftsmedlemmene | ** Kommuniser retningslinjer og råd til driftsmedlemmene | ||
** Vurder sikkerhetsprosedyrene | ** Vurder sikkerhetsprosedyrene | ||
* Generer et nytt passord | * Generer et nytt passord | ||
** Følg gjeldende råd for passordsikkerhet | ** Følg gjeldende råd for passordsikkerhet |
Revision as of 17:31, 10 October 2022
Når skal man bytte passordet
Passordet skal endres i tilfeller der minst ett av punktene under er aktuelle
- CERT mener det skal byttes
- Drift er enige om at det skal byttes
eller
- Passordet har blitt lekket
- Passordet har blitt misbrukt av driftere
- Systemer har vært kompromittert på en slik måte at uvedkomne har fått tilgang
- Det er mistanke om, eller tegn til, noen av situasjonene over
FØR passordbytte
- Informer CERT og Driftskoordinator
- Samkjør med andre driftere
- Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel:
- Tett sikkerhetshull
- Skriv bedre sikkerhetsrutiner
- Kommuniser retningslinjer og råd til driftsmedlemmene
- Vurder sikkerhetsprosedyrene
- Generer et nytt passord
- Følg gjeldende råd for passordsikkerhet
- Unngå vanlige ord og mønster
- Unngå tidsbasert randomness
- Eksempelkommando:
strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 20 | tr -d '\n'; echo
- Identifiser alle maskinene som skal ha passordet og noter i en liste
- Identifiser alle tjenester som skal ha passordet. For eksempel:
- http://list.pvv.ntnu.no -> Maillinglister som "Aktive" og "Nyhetsbrev"
- VM-tjenere som Maskiner/Joshua (Ikke de med indre rot)
- (?) PVV-brukeren på noen maskiner (?)
- Homeassistant
- Styrets Google-konto
Hvordan bytte passord
- Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet)
- Kjør kommandoen
passwd
som root for å faktisk gjøre endringen - Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig
- Noter byttet i listen din over maskiner
- Kjør kommandoen
- Logg inn på hver tjeneste som skal ha passordet
Etter passordbytte
- Gi passordet til medlemmer i CERT
- Distribuer *sikkert* til aktive driftere, ved:
- Fysisk oppmøte / muntlig overlevering
- E-post, må være kryptert med PGP eller lignende
- Fil på salt-masteren (root@sleipner:~/rotpassord), tilgjengelig for brukere med admin-principal
- Deling på en sikker "password manager"-tjeneste
Tanker til senere
- Salt kjører som root, lag et script for å bytte passord fra salt-masteren
- Skriv en guide for å få tilgang gjennom "Single User Mode" eller "systemd.debug_shell"
- Lage eller finne et register over PGP-, RSA- eller lignende nøkler for aktive driftere
- Flytt over alle eksterne tjenester til andre passordm ikke gjenbruk dette