Al limite della curiosità, ma non riesco a convincermi che il ragionamento è corretto.
Sto definendo/implementando le policy di gestione password in azienda, dove i firewall sono macchinette debian e i server pure, con i server che utilizzando samba+openldap con scadenza delle pass e tutto quello che ci corre dietro. I firewall finora sono stati una cosa a parte, con account creati a manina (solo per lo staff tecnico) e pass 'statiche': il mio obiettivo è quello di gestire anche per i firewall la scadenza password. Ah, of course l'accesso è solo ed esclusivamente in ssh. Visto che non posso pensare di usare solo l'autenticazione con chiave (lo staff tecnico non ha portatile aziendale con cellofono aziendale e GPRS aziendale ;), pensavo a una cosa del genere: 1) creazione degli account effettivamente manuale e gestita a mano (lo staff tecnico è di 3 persone, direi gestibile ;) 2) la pass di questi utenti viene impostata a un set random di caratteri, scritta in busta chiusa e messa in 'cassaforte'. 3) tramite pam 'aggiungo' all'autenticazione standard con /etc/shadow l'accesso ai server LDAP interni, di modo che il tecnico può usare comodamente la sua pass solita che scade ogni tre mesi. 4) ovviamente se serve root si usa sudo, l'accesso in ssh per root è disabilitato. ma questo ovviamente anche adesso. 5) se succede qualcosa di veramente grave, muore il server LDAP e io sono alle bahamas (ok, a bibione ;), faccio aprire la busta e mi faccio dettare la pass al telefono, che cambio ovviamente immediatamente dopo con un'altra. L'altra alternativa che vedo è disabilitare proprio le password e usare solo l'autenticazione con chiave 'regalando' al mio staff una chiavetta con la chiave dentro. Ma so già che la soluzione, per usare un eufemismo, potrebbe essere vista non proprio di buon occhio... ;) Come policy potrebbe andare? Ha qualche enorme bacarozzo che io non vedo? Grazie. -- Vendere no, non passa tra i miei rischi, non comprate i miei dischi e sputatemi addosso. (F. Guccini)
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
