Wpis z mikrobloga

@matiit: tzn jak wiadomo, że po kluczach, ftp - używa ktoś tego jeszcze? sftp scp również po kluczach

@matiit: emaksem przez sendmejl

@matiit: Najlepiej sobie postawić jakiegoś LDAP'a i skonfigurować usługi tak, żeby z nim rozmawiały w kwestii uwierzytelniania. To pozwala scentralizować sporo rzeczy. Takim linuksowym kombajnem dla ludzi nie lubiących klepać ton konfiguracji jest FreeIPA. Do SSO po CAS'ie polecam Casino (http://casino.rbcas.com/)

@matiit: Hasla w centralnym repozytorium, dostep pogrupowany wedlug teamow. Kazde pobranie hasla wiaze sie z koniecznoscia podania powodu (pole tekstowe), zasadniczo powinien to byc numer ticketa.

Jesli chodzi o klucze to te przydzielane sa indywidualnie, fizycznie sa przekazywane poprzez udostepnienie klucza w malym volumenie truecrypta a haslo do tego przekazywane jest smsem.

Najlepiej sobie postawić jakiegoś LDAP'a

@korri: Gdzie sie tylko da - to tak, ale czasem srodowisko UAT, stageing czy produckcja nie ma dostepu do LDAPa

@matiit: Wprowadzono kiedy w firmie zrobilo sie ponad 100 osob i nie dalo sie tego kontroilowac inaczej. Bylo neizbedne dla certyfikacji ISO, a ta jest wymagana przy niektorych przetargach. Obecnie w firmie jest +-400 osob. Spora czesc z nich ma dostepy do wielu roznych systemow.

Nie da sie tego inaczej zrobic jesli supportujesz systemy okolo bankowe, sądowe czy inne przechowujące bardzo wrażliwe dane.

@msq: No to po kerberosie.

Tylko mówię jak brzmi.

@matiit: Mozliwe, jeśli się patrzy z perspektywy firmy w której są cztery osoby. Też w takiej pracowałem. W obecnej zaczynałęm jak było mniej niż 50 osób i wszystko było bardziej na luzie :)

Potem się zaczęły większe pieniądze i większa odpowiedzialność.

plugin cryptfire + dokuwiki

No to po kerberosie.

@korri: Nie o to chodzi :)

Czasem srodowiska produkcyjne sa calkowicie wewnetrzne po stronie klienta. Serwerami zajmujemy się my niemal w 100%, ale nie wyobrażam sobie by bank albo duża firma energetyczna zgodziła się na ustanowienie tunelu / VPNa żeby się łączyć do kerberosa czy LDApa w siedzibie firmy supportującej.

Bezpieczniaki by ze śmiechu poumierali gdyby im takie zgłoszenie wysłać :)

Akurat nie 4, a w samym dziale IT około 10 razy więcej, ale do korpo daleko i nie jest sztywno

@matiit: Moim zdaniem u mnie w firmie też nie jest za bardzo korpo. Dosyć wysokie miejsce w krajowym GPTW i atmosfera w pracy nie majaca za wiele wspolnego z korpo.

Aha - moze powienienem dodac ze to w Dublinie :) I firma jest irlandzka.

@msq: No to kerberosa można tak fajnie zrobić, żeby bezpieczniaki od strony klienta miały swój serwer i na zewnętrzne żądanie dostępu "ręcznie" wystawiali ticket, pozwalający jednorazowo coś gdzieś zrobić

@korri: Oni mają bardzo prostą filozofię życiową - nie zgadzać się na jakiekolwiek dostepy, wyjątki, tunele, VPNy jeśli nie są absolutnie niezbędne dla uruchomienia / działania systemu :)

A jak juz bardzo muszą to dadzą nam jeden klucz RSA a drugi trzymają sami i przy każdym logowaniu, oprócz hasła (które expiruje co parę dni) i cyferek z klucza RSA - potrzebuje jeszcze do nich dzwonić w celu uzyskania kliku znakówPokaż całość