Безопасные, разделяемые записи учетных записей FTP / SSH - PullRequest
0 голосов
/ 04 января 2011

Как и в случае любого агентства веб-дизайна, наша компания ведет список учетных записей FTP и SSH для наших клиентских сайтов.

На мой взгляд, два наиболее важных вопроса для такого списка - это то, чтолегко разделяемый, сохраняя при этом его безопасность в максимально возможной степени.

Имея это в виду, мне любопытно, как люди решают эту проблему в других компаниях.Мои собственные предложения включают настройку онлайновой базы данных (в этом случае SSL должен использоваться для обеспечения ее безопасности) или использование чего-то вроде 1Password (что сделает процесс совместного использования немного более сложным.

1 Ответ

1 голос
/ 04 января 2011

Эрик, нет веских причин разрешать вашим коллегам больше использовать FTP, правильное решение здесь - использовать ключи SSH, индивидуальные учетные записи пользователей (SSH) и разрешения для групп / папок. Если вам интересен этот комментарий назад, я с удовольствием уточню свой ответ.

Когда у каждого пользователя есть выделенная учетная запись сервера (UNIX был изобретен для такой работы), вы можете добавлять пользователей в группы, представляющие их роли в компании. Если ваши сотрудники должны иметь возможность корректировать изображения, но не кодировать, например, на клиентах XYZ, вы можете управлять этими пользователями и группами с помощью инструмента, который синхронизирует настройки пользователей и групп на серверах (их много).

В случае, если вы действительно должны использовать FTP, вышвырните своего системного администратора, в 2011 году нет веской причины не использовать SFTP (который по сути является SCP, который основан на протоколе Secure Copy). на SSH)… который, поскольку он основан на SSH, будет использовать учетную запись пользователя UNIX пользователя (SSH)… см. разрешения группы / etc выше, и у вас есть закрытое решение.

Что касается паролей, на самом деле не существует жизнеспособного программного обеспечения для совместного использования групповых паролей, я полагаю, потому что групповые пароли запрещены во многих отраслях (электронная коммерция, PCI) как признак небезопасности и неспособности отслеживать активность пользователя. Однако что-то вроде Keepass (см. Google для вашей конкретной реализации) в Dropbox может работать очень хорошо.

Источник: сопровождающий стандартного инструмента развертывания веб-программного обеспечения Capistrano и 5-летний администратор сервера.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...