-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 Olá,
On 05-11-2011 12:32, Cleber Ianes wrote: > Na empresa que trabalho temos aproximadamente 50 servidores sendo > 30 locais e o restante fora, alguns são Linux, alguns FreeBSD e > até 2 rWindows2008 > Vez ou outra surge a necessidade de trocar senha de root desses > servidores, seja por troca de funcionários ou simplesmente por > segurança. O acesso às senhas de root, isso não vai mudar muito, porque sempre existirá o cenário onde funcionários com senhas de root saem da empresa, mesmo que você reduza o número. Nestes casos não tem muita mágica, você pode automatizar isso de várias formas, usando ferramentas como clusterssh ou ferramentas de gerenciamento de configuração como chef/puppet. Para o gerenciamento de senhas a questão é usar uma ferramenta para armazená-las, pode ser um arquivo criptografado usando GPG, pode ser algo como pwman ou yapet, mas isso é só para ajudar no armazenamento das senhas em um ponto central. > Hoje faço isso máquina a máquina. Para trocar as senhas de root é isso mesmo, ou você fará ou automatizará, mas a senha terá que ser trocada em cada máquina. > Quero mudar a forma de acesso fazendo com que cada técnico > acesse as máquinas utilizando um usuário próprio com poderes > de root, mas tenho que centralizar isso em um único local > para que eu não precise "ir" a cada servidor para alterar a > enha. Inclusive a senha de root, se possível. Quais as opções > sugeridas????? Como sugerido, um cenário possível é o serviço de diretórios, pode ser OpenLDAP ou algum outro que você prefira. A questão aqui é que talvez você não queira compartilhar a mesma base LDAP em todos esses servidores e talvez os Windows não possam acessar isso via Samba por diferentes restrições, então há outras alternativas. Antes de falar das outras alternativas, note que você pode usar LDAP, usar SSL para comunicar mudanças, integrar o LDAP com sudo-ldap e ter gerenciamento centralizado de acesso. No LDAP você pode dizer quais pessoas podem acessar quais servidores e configurar a PAM para ler esses dados. Com isso, um usuário acessa com a conta não privilegiada o SSH e daí escala para root usando sudo, podendo até mesmo ter um shell como root se for o caso ou sendo autorizado a executar apenas alguns comandos. A outra alternativa é automatizar essa configuração. Você pode usar algo como a libpam-pwdfile e ter um arquivo de usuários distribuído para as várias máquinas através de chef/puppet ou outras mágicas com chaves SSH. Usando o mesmo sistema para distribuir a configuração você pode padronizar o acesso sudo e ter um efeito similar ao LDAP, só que podendo ter cenários diferentes a partir de um repositório central. As máquinas Windows serão um desafio à parte. :) Abraço, - -- Felipe Augusto van de Wiel (faw) <f...@funlabs.org> -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQIcBAEBCgAGBQJOteoHAAoJEMa4WYSFUi4tlzMP/3hyUN83zDRv8TbcTm5nfyPp ep5QL1bti4rjFLOSoK4aioWrO/jbUxI9Q7lxAMGqW7ALvIUYLel4cUX94F8Maibj vQ4JB+ZZdGh+ggD+mITpE30uWwZtmTyP4JS2uJcoKq7MqoM5xSK6FypSLcP8QIWG 1CT4uP49jCAvbngYB4LoXej6HicIaVxSwDIAkTqElmuC+TdG1trB/TarEszZWjQv pd9A9chRpcY4V4QinmzdgR/2xlteVJzZeM4J9SUWbsOHTBXqHyC7Wy7E7eC7NWWZ AFGtPof+asjRMTUlqgwxdFtuqYgSRK5ouxCSZjjSEIlmxG2/NTNiZ41LoKIa7Hkv 3atCY9UnKSkY/SetU+cK6CxkhppK4gDjbwFOeN+Tm21E6uaXt12Gf9RB18lcdUxY wemvYEvYEXrsHimzWsdguiGB3OSKnfPvbLGTgOyebOptGs+LqcaujbtMFNqP0Iz+ /Vyu/D2JfSyj8Gf3Qv7N0bdnXx57oeGVCFzbCJ1K9N0K65F9XBidegJVTS6zRLmK ZlWYHvufiAEyhLGrCNBIKwS0GHJ2FZulLiglDfBWOwWIfyrhzQKmRErHZ/JXDcof OlSTrtkxfrYVLPQe8Xhq0Sf166ysNIvrQyXCvsUy3cJ0JJq6vQmnnDba2fmYPrG7 6IHNJfE9SKT1rIQck7iG =B8Q4 -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4eb5ea07.7090...@funlabs.org