[Admin] Verteilung von Zugangsdaten

Clemens_John · 3. Juli 2015 um 09:48

Hi,

das Problem der Verteilung von Zugangsdaten ist parallel in zwei Threads
angesprochen worden. Bisher gingen die immer per verschlüsselter Mail an die
Admins, das ist in einem größeren Team aber etwas unpraktikabel.

Im Vorstand nutzen wir zur Arbeit auf einer gemeinsamen Datenbasis das
Syncthing. Wäre das etwas für uns oder haben wir sogar schon eines (verliere
da selbst gerade etwas den Überblick)?

Wie wollen wir Zugangsdaten in so einer gemeinsamen Ressource ablegen? TXT-
File oder gibt es da ganz tolle Passwortmanager deren Nutzung sinnvoll wäre?

Anforderungen (falls wir irgendwann mal Permissionguidelines haben sollten):
* Regelmäßiger Passwortwechsel (jährlich z.B.)
* Admin scheidet aus (gemeinsame Passwörter wechseln)
* Neuer Admin wird ins Team aufgenommen (Zugang zur Ressource)

Vorschläge plz

LG
Clemens

Stefan2 · 3. Juli 2015 um 10:05

Am besten in einem Sync. Passwortmanager ist dafür doch unnötig.

Clemens_John · 3. Juli 2015 um 10:28

Würde ich persönlich auch sagen, habe über nen TXT-File hinaus aber auch keine
praktischen Erfahrungen...

LG
Clemens

picard · 3. Juli 2015 um 10:56

Zitat von Clemens John <clemens.john@floh1111.de>:

das Problem der Verteilung von Zugangsdaten ist parallel in zwei Threads
angesprochen worden. Bisher gingen die immer per verschlüsselter Mail an die
Admins, das ist in einem größeren Team aber etwas unpraktikabel.

Im Vorstand nutzen wir zur Arbeit auf einer gemeinsamen Datenbasis das
Syncthing. Wäre das etwas für uns oder haben wir sogar schon eines (verliere
da selbst gerade etwas den Überblick)?

wie genau nutzt ihr Syncthing?

Wie wollen wir Zugangsdaten in so einer gemeinsamen Ressource ablegen? TXT-
File oder gibt es da ganz tolle Passwortmanager deren Nutzung sinnvoll wäre?

unverschlüßelt? bin ich gegen!

im zuge das alle Admins auf den servern user accounts bekommen sollten!
jeder dienst einen eigenen usernamen/gruppe und passwd haben sollte!
steigt der verwaltungs aufwand!!

Anforderungen (falls wir irgendwann mal Permissionguidelines haben sollten):
* Regelmäßiger Passwortwechsel (jährlich z.B.)
* Admin scheidet aus (gemeinsame Passwörter wechseln)
* Neuer Admin wird ins Team aufgenommen (Zugang zur Ressource)

Vorschläge plz

SSH zugang setze ich voraus.

auf den servern benötigen wir user verwaltung.
könnte man einen server (vm) aussuchen,
dort legt man einen user per script einmalig an (user gibt uns einen pub key)
dieser user bekommt dann alles was er benötigt, das liegt dann alles für ihn zugänglich in seinem HOME.

ich nutze wegen der problematischen verwaltung keepass,
keepass arbeitet mit db datei(en) die verschlüßelt sind.
man kann z.b mehrere DBs haben, pratisch wenn man auf dem smartphone z.b eine andere DB habe will.
+ keepass ist durchsuchbar.
+ kann ordner struckturen (übersicht)
+ ist auf allen gängigen OS zu hause
und hat weitere vorteile... http://keepass.info/

so eine ADMIN-DB datei kann man sync halten auf viele arten z.b rsync, synthing wtf.

öffnen kann man diese datei mit dem programm keepass und dem DB passwd (und wenn man eine weitere sicherheit einbauen will benötigt man noch einen schlüßeldatei dazu)
vorteile von keepass sind das man dort dinge wie
* Regelmäßiger Passwortwechsel (jährlich z.B.)

* Admin scheidet aus (gemeinsame Passwörter wechseln) DATUMSTEMPEL
wenn ein admin ausscheidet hat dieser eh die aktuellen zugänge/passwd
diese müssen alle geändert werden, dann auch das passwd der DB (schlüßeldatei)

* Neuer Admin wird ins Team aufgenommen (Zugang zur Ressource)

natürlich muss man einmal einen sicheren kontakt weg haben.
+ admin kommt zum admin/freifunk treffen und bekommt db datei mit passwd.
+ admin hat GPG und bekommt DB passwd auf diesem weg.
+ admin bekommt per ssh zugang zu der DB und dort liegt das aktuelle passwd

Stefan2 · 3. Juli 2015 um 11:17

Die Verschlüsselung macht hier ja auch nicht wirklich Sinn, da Admins nur auf die Server kommen…

Noch ein DB Passwort merken? Ich glaube dann geht das gefrage zwischen den Admins los.

picard · 3. Juli 2015 um 11:22

Zitat von Stefan <stefan@osnabrueck.freifunk.net>:

Die Verschlüsselung macht hier ja auch nicht wirklich Sinn, da Admins nur auf die Server kommen..

Noch ein DB Passwort merken? Ich glaube dann geht das gefrage zwischen den Admins los.

eine variante: das ist eine passwd für eine DB datei wo dann alle zugänge drin stehen.

ander variante: oder wie ich schon schrieb, das alles im HOME liegt.
problematisch ist hier die verwaltung, wenn ein admin ausscheidet,
müssen zugänge welche direkt per access zugänglich sind geändert werden.
wie verwalten?

wir müssen dringend über user verwaltung auf den servern reden.

Clemens_John · 3. Juli 2015 um 13:07

Hi

ich versuche mal grob zusammenzufassen:
1. wir legen uns ein Syncthing an. Das ist denke ich sowieso ganz sinnvoll,
weil wir einiges an Doku haben, die aktuell im Vorstandssyncthing liegt und
auf die aber eigentlich das ganze Admin-Team zugriff benötigt. Die Nutzung im
Vorstand (pic frage) ist aktuell wie bei einem geteilten Cloud-Ordner. Alle
dürfen lesen & schreiben, es werden regelmäßig Backups gezogen (Thema Backups
steht auf der TO für Sonntag).

2. es gibt verschiedene Varianten Passwörter zu speichern. Ich würde
vorschlagen wir setzen einen Testballon für Keepass auf und sharen dass
Kepass-File über das Syncthing.

3. am Sonntag besprechen wir direkt ob alle mit dieser Variante klar kommen
oder ob wir etwas verbessern/ändern müssen.

LG
Clemens

picard · 4. Juli 2015 um 10:12

Zitat von Clemens John <clemens.john@floh1111.de>:

ich versuche mal grob zusammenzufassen:
1. wir legen uns ein Syncthing an. Das ist denke ich sowieso ganz sinnvoll,
weil wir einiges an Doku haben, die aktuell im Vorstandssyncthing liegt und
auf die aber eigentlich das ganze Admin-Team zugriff benötigt. Die Nutzung im
Vorstand (pic frage) ist aktuell wie bei einem geteilten Cloud-Ordner. Alle
dürfen lesen & schreiben, es werden regelmäßig Backups gezogen (Thema Backups
steht auf der TO für Sonntag).

2. es gibt verschiedene Varianten Passwörter zu speichern. Ich würde
vorschlagen wir setzen einen Testballon für Keepass auf und sharen dass
Kepass-File über das Syncthing.

3. am Sonntag besprechen wir direkt ob alle mit dieser Variante klar kommen
oder ob wir etwas verbessern/ändern müssen.

Tarek, deswegen hat Clemens das syncthing angestoßen.

ich bin erlich gesagt mit dem aufwand
(alle müssen syncthing installieren und die ids austauschen [id verwaltung])
nicht ganz glücklich.

vielleicht sollten wir das noch mal diskutieren und keine überschnellen handlungen tätigen?

welche möglichkeiten gibt es denn?
mit welchen vor und nachteilen?

* git
* syncthing
* seafile
* owncloud

syncthing wird im vorstand, in einem kleinen klar deffinierten kreis genutzt, was natürlich auch kein akt ist.

* macht syncthing in einem oder mehreren großen teams sinn?
* sollten wir nicht eine gängige lösung für alle teams finden?
* ist git eine lösung für nicht techis?
* die sync im team muss von allen genutzt werden können (einstiegs hürde)
* verwaltungs aufwand (so gering wie möglich)

ich bin weder mit tareks noch mit clemens idee so ganz im einklang.

geheime dinge können wir eh nicht unverschlüßelt syncen
+ lösung z.b keepass verschlüßelte DB file.

meinungen? ideen? alternativen?
sollten wir das einfach am sonntag diskutieren?