Hi!
Ich kann mir irgendwie nicht vorstellen, dass dieses Problem bisher niemand hatte, deshalb frage ich hier mal:
Gibt es Mittel und Möglichkeiten, das Rootpasswort netzwerkweit zu ändern, ohne dass sich der Admin manuell (per ssh) an jedem Rechner einloggt?
Grüßle
Olfi
Passwortänderung netzwerkweit verteilen?
Re: Passwortänderung netzwerkweit verteilen?
mir fällt dazu nur eine zentrale userverwaltung mittels ldap ein
aber das ist nicht was du willst oder?
aber das ist nicht was du willst oder?
Re: Passwortänderung netzwerkweit verteilen?
Das lässt sich mit PubKeys doch prima scripten, oder nicht?das Rootpasswort netzwerkweit zu ändern, ohne dass sich der Admin manuell (per ssh) an jedem Rechner einloggt?
Ich hatte schon öfters mal Beispiele gesehen, wo sich Admins solcher Netze Skripte gebaut hatten, denen sie nur das Kommando als Parameter übergaben und dann wurde das auf allen Kisten durchgeführt...
Ansonsten plädiere ich auch für eine zentrale Benutzerverwaltung, das will man in solchen Netzen eigentlich eh IMMER haben, oder nicht?!
Allerdings denke ich eh, wenn das Root-PW gut gewählt ist, braucht man es kaum zu ändern - außer, es wurde kompromittiert (aber dann hat man eh andere Probleme).
Re: Passwortänderung netzwerkweit verteilen?
Das mit den PubKeys und Skript klingt gut.
In Sachen zentrale Benutzerverwaltung:
Ist es wirklich üblich, auch solche User wie root dort einzubeziehen? Ich dachte immer, das bezieht sich nur auf User, die sich real anmelden müssen...?? Ist das nicht sinnvoller, root eben nicht zentral zu halten?
In Sachen zentrale Benutzerverwaltung:
Ist es wirklich üblich, auch solche User wie root dort einzubeziehen? Ich dachte immer, das bezieht sich nur auf User, die sich real anmelden müssen...?? Ist das nicht sinnvoller, root eben nicht zentral zu halten?
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Passwortänderung netzwerkweit verteilen?
LDAP(s) oder Kerberos wären sicherlich eine Möglichkeit. Ein solches Vorgehen würde allerdings auch wieder einen zentralen Angriffspunkt schaffen, sofern der/die Authentifizierungsserver einmal kompromittiert wären, wäre ziemlich alles hinüber.
NIS wäre auch noch machbar, aber
a) möchte man das nicht mehr nutzen, und
b) sollte sich root nicht darüber authentifizieren
Alternative: NIS+, das gibt's aber nur unter Slowlaris, und wird auch schon länger nicht mehr gepflegt / weiterentwickelt / supported.
Weiterer Nachteil: auf den Maschinen selbst müsste mindestens root ohnehin lokal vorgehalten werden, natürlich möglichst mit einem Passwort, das sich vom Auth-Server möglichst weiträumig unterscheidet. ;)
Wenn ich eine solche Maßnahme einzuführen hätte, würde ich daher auch eher zu einer verscripteten Lösung tendieren.
NIS wäre auch noch machbar, aber
a) möchte man das nicht mehr nutzen, und
b) sollte sich root nicht darüber authentifizieren
Alternative: NIS+, das gibt's aber nur unter Slowlaris, und wird auch schon länger nicht mehr gepflegt / weiterentwickelt / supported.
Weiterer Nachteil: auf den Maschinen selbst müsste mindestens root ohnehin lokal vorgehalten werden, natürlich möglichst mit einem Passwort, das sich vom Auth-Server möglichst weiträumig unterscheidet. ;)
Wenn ich eine solche Maßnahme einzuführen hätte, würde ich daher auch eher zu einer verscripteten Lösung tendieren.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc