问如何管理团队密码？

EN

我们使用truecrypt保险库和共享/硬编码密码。团队中的一些人在手机上保存了一份文件的加密副本。

我们使用AD将本地管理员密码推送到Windows服务器。

我们使用傀儡来更改本地根密码，并从Linux服务器中删除前员工ssh密钥。

我们使用Kiwi Cat工具来管理我们的Cisco硬件，并使用它重置密码。

这仍然留下了不到十几个“一次性”设备(UPS，远程PDU，打印机等)，我们手动更新。

我们每6个月更改一次密码，或者当我们失去一名团队成员时立即更改密码。

我在大公司使用过的一种方法是赛博方舟这样的产品，它基本上控制了方框的密码，然后设置了一个设置，您可以在其中为特定的主机请求一段时间的密码。然后应用程序给出密码，并在时间段结束后对其进行更改。这种方法的另一个优点是，您可以记录谁有权访问服务器以及何时访问。

这样，当团队成员离开时，他们实际上不会知道任何密码。显然，您需要结合监控工具来阻止用户添加未经授权的帐户或后门，但如果您有足够的帐户来管理，这可能是一个很好的方法。

在我的部门，身份和访问控制集中在IPA中，它允许：

• 非常容易根据RBAC配置文件添加/删除帐户
• 定义帐户状态(已启用/禁用)
• 存储用户的ssh键(S)(因此服务器中没有密钥)
• 定义密码策略
• 非常容易地实现多因素身份验证(kerberos + RSA +密码)
• 其他几个与您的问题没有直接关系的帐户和控制特性(sudo，HBAC，SELinux，证书处理，.)

当团队成员离开时，他/她的帐户在第一步就被禁用，然后通过适当的管理工作流删除。