Drift/Bytte ytre rotpassord

From Programvareverkstedet
Revision as of 16:09, 10 October 2022 by Felixalb (talk | contribs) (Created page with "== Når skal man bytte passordet == Passordet skal endres i tilfeller der minst ett av punktene under er aktuelle * CERT mener det skal byttes * Drift er enige om at det s...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

Når skal man bytte passordet

Passordet skal endres i tilfeller der minst ett av punktene under er aktuelle

  • CERT mener det skal byttes
  • Drift er enige om at det skal byttes

eller

  • Passordet har blitt lekket
  • Passordet har blitt misbrukt av driftere
  • Systemer har vært kompromittert på en slik måte at uvedkomne har fått tilgang
  • Det er mistanke om, eller tegn til, noen av situasjonene over

FØR passordbytte

  • Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel:
    • Tett sikkerhetshull
    • Skriv bedre sikkerhetsrutiner
    • Kommuniser retningslinjer og råd til driftsmedlemmene
    • Vurder sikkerhetsprosedyrene
  • Samkjør med andre driftere
  • Informer CERT
  • Generer et nytt passord
    • Følg gjeldende råd for passordsikkerhet
  • Identifiser alle maskinene som skal ha passordet og noter i en liste
    • ```sleipner:~$ sudo salt-key -L```
    • ```microbel:~$ ruptime```
    • Maskiner
    • Maskinene er vanligvis i en av kategoriene:
      • Terminaler på terminalrommet
      • Andre maskiner i lokalene (Tallulah, skrott, ameno, etc.)
      • Fysiske servere på serverrommet som ikke har indre rotpassord
      • VMer på alle VM-tjenere i Maskiner
  • Identifiser alle tjenester som skal ha passordet. For eksempel:
    • http://list.pvv.ntnu.no -> Maillinglister som "Aktive" og "Nyhetsbrev"
    • VM-tjenere som Maskiner/Joshua (Ikke de med indre rot)
    • (?) PVV-brukeren på noen maskiner (?)
    • Homeassistant
    • Styrets Google-konto

Hvordan bytte passord

  • Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet)
    • Kjør kommandoen ```passwd``` som root for å faktisk gjøre endringen
    • Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig
    • Noter byttet i listen din over maskiner
  • Logg inn på hver tjeneste som skal ha passordet

Etter passordbytte

  • Gi passordet til medlemmer i CERT
  • Distribuer *sikkert* til aktive driftere, ved:
    • Fysisk oppmøte / muntlig overlevering
    • E-post, må være kryptert med PGP eller lignende
    • Fil på salt-masteren (root@sleipner:~/rotpassord), tilgjengelig for brukere med admin-principal
    • Deling på en sikker "password manager"-tjeneste


Tanker til senere

  • Salt kjører som root, lag et script for å bytte passord fra salt-masteren
  • Skriv en guide for å få tilgang gjennom "Single User Mode" eller "systemd.debug_shell"
  • Lage eller finne et register over PGP-, RSA- eller lignende nøkler for aktive driftere
  • Flytt over alle eksterne tjenester til andre passordm ikke gjenbruk dette