Drift/Bytte ytre rotpassord

From Programvareverkstedet

Når skal man bytte passordet

Passordet skal endres i tilfeller der minst ett av punktene under er aktuelle

  • CERT mener det skal byttes
  • Drift er enige om at det skal byttes

eller

  • Passordet har blitt lekket
  • Passordet har blitt misbrukt av driftere
  • Systemer har vært kompromittert på en slik måte at uvedkomne har fått tilgang
  • Det er mistanke om, eller tegn til, noen av situasjonene over

FØR passordbytte

  • Informer CERT og Driftskoordinator
  • Samkjør med andre driftere
  • Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel:
    • Tett sikkerhetshull
    • Skriv bedre sikkerhetsrutiner
    • Kommuniser retningslinjer og råd til driftsmedlemmene
    • Vurder sikkerhetsprosedyrene
  • Generer et nytt passord
    • Følg gjeldende råd for passordsikkerhet
    • Unngå vanlige ord og mønster
    • Unngå tidsbasert randomness
    • Eksempelkommando:
    • strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 20 | tr -d '\n'; echo 
  • Identifiser alle maskinene som skal ha passordet og noter i en liste
    • sleipner:~$ sudo salt-key -L
    • microbel:~$ ruptime
    • Maskiner
    • Maskinene er vanligvis i en av kategoriene:
      • Terminaler på terminalrommet
      • Andre maskiner i lokalene (Tallulah, skrott, ameno, etc.)
      • Fysiske servere på serverrommet som ikke har indre rotpassord
      • VMer på alle VM-tjenere i Maskiner
  • Identifiser alle tjenester som skal ha passordet. For eksempel:

Hvordan bytte passord

  • Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet)
    • Kjør kommandoen
      passwd
      som root for å faktisk gjøre endringen
    • Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig
    • Noter byttet i listen din over maskiner
  • Logg inn på hver tjeneste som skal ha passordet

Etter passordbytte

  • Gi passordet til medlemmer i CERT
  • Distribuer *sikkert* til aktive driftere, ved:
    • Fysisk oppmøte / muntlig overlevering
    • E-post, må være kryptert med PGP eller lignende
    • Fil på salt-masteren (root@sleipner:~/rotpassord), tilgjengelig for brukere med admin-principal
    • Deling på en sikker "password manager"-tjeneste


Tanker til senere

  • Salt kjører som root, lag et script for å bytte passord fra salt-masteren
  • Skriv en guide for å få tilgang gjennom "Single User Mode" eller "systemd.debug_shell"
  • Lage eller finne et register over PGP-, RSA- eller lignende nøkler for aktive driftere
  • Flytt over alle eksterne tjenester til andre passordm ikke gjenbruk dette