有时我想使用 Ansiblelineinfile或blockinfile模块将密码写入一些配置文件。如果我这样做,整个行或块,包括密码,最终在我的syslog.
由于我不认为syslog将密码存储在一个安全的地方,我如何告诉 Ansible 不要将我的密码泄露到syslog?我希望有办法做到这一点,否则我会认为这是 Ansible 中的一个大安全问题。
例如,您可以使用此临时命令重现它:
ansible localhost -m blockinfile -a 'dest=/tmp/ansible_password_leak create=yes block="Password = {{password}}"' -e 'password=secret'
以下是最终结果syslog:
ansible-blockinfile: Invoked with directory_mode=None force=None remote_src=None insertafter=None owner=None follow=False marker=# {mark} ANSIBLE MANAGED BLOCK group=None insertbefore=None create=True setype=None content=None serole=None state=present dest=/tmp/ansible_password_leak selevel=None regexp=None validate=None src=None seuser=None delimiter=None mode=None backup=False block=Password = secret
例如,我在 Debian“Jessie”8 系统上使用了来自官方 Ansible Ubuntu PPA 的Ansible 2.0.0.2 。
如果为您提供一台运行 Windows 2000 或更新版本的计算机并且您没有密码,您使用什么方法获得管理员权限的访问权限,以便您可以使用系统?
我想知道利弊.. 支持和反对系统管理员使用密码维护用户帐户列表的想法的原因.. 并且另外不允许这些用户更改他们的密码。
我知道像 Windows 这样的系统似乎鼓励用户应该维护自己的密码安全并被允许随意更改密码的想法。我可以理解需要隐私和拥有不在场证明的用户在同事的话不同意系统日志的情况下保护自己。但同时我也可以看到,如果需要访问用户可能希望保密的某些材料,有些人可能会证明将用户的密码存档是合理的。
我真的很想接受这个想法的教育。
刚刚收到供应商的电子邮件,通知我们他们将强迫我们每六个月更改一次密码,我很想知道人们使用什么密码过期策略以及他们为什么使用它们。
我只是有一个用户无法在 Windows 2008 域上更改他的密码。尽管他确信他选择的密码满足这些要求,但它给了他一个关于复杂性要求的神秘信息。我自己测试并确认了。
如果我记得的话,他的最后一个密码似乎是根据 Microsoft 推荐的默认设置(例如 10 天)设置的太近了。
他问了我一个很好的问题,我无法回答:为什么会有最低密码年龄?这如何合理地有益于安全?他还指出,人们可能会在这 10 天内发现他们的密码被泄露而无法更改!
是否有任何正当理由强制执行最低密码年龄?
我正在寻找通过互联网安全发送密码的最佳方式。我看过的选项是 PGP 和加密的 RAR 文件。除了在没有太大风险的情况下通过互联网从 a 点到 b 点之外,没有其他实际参数。
我是系统管理员。在生产环境中,我需要管理数千台服务器。我和我的同事使用中央管理服务器并通过其他服务器分发其公钥。所以我们可以使用这个管理服务器ssh到其他服务器。
有时我们需要使用root密码,例如服务器宕机时,我们需要使用iLO来确定原因。
目前,我们使用共享的 root 密码。这是不安全的。我还查看了一些单服务器解决方案,例如OPIE(一次性密码在一切中),但由于我们有这么多服务器,这不是一个好主意。
编辑:
我想从密码管理解决方案中得到的是:
因此,将 root 密码设置为长而随机的字符串并不是一个好主意,尽管它是从一些已知命令(如openssl passwd)生成的。很难记住,有时很难生成(没有我的笔记本电脑)
使用这样的随机字符构造的 URL 是否被认为是“安全的”?
http://example.com/EU3uc654/Photos
我想将一些文件/图片库放在网络服务器上,仅供一小部分用户访问。我主要担心的是这些文件不应该被搜索引擎或在我网站上闲逛的好奇的高级用户所获取。
我已经设置了一个 .htaccess 文件,只是为了注意单击http://user:pass@url/链接在某些浏览器/电子邮件客户端上无法正常工作,提示对话框和警告消息使我不太懂计算机的用户感到困惑。
长话短说:大型老公司,大量 UNIX/Linux 服务器。
我继承了几年前留下的一堆脚本的责任。其中之一是一个脚本,该脚本每 X 个月运行一次,以全局更新我们所有服务器上的 root 密码。
该脚本是一堆 Shell 脚本和 Expect,它在我们所有服务器和中央命令和控制服务器之间建立的 SSH 信任上工作。
问题是,剧本一团糟。Expect 命令试图说明存在于任何 UNIX/Linux 机器上的每个可能版本的“passwd”——它们差异很大。
随着我们扩展和升级很多基础设施,脚本变得非常难以管理。
我的问题是:有没有更好的方法来做到这一点?假设已经建立了 SSH 信任,同时更改 3000 多台服务器上的 root 密码的最佳方法是什么?
免责声明:这个问题不是为了解决在 SELinux 处于活动状态时更改 root 密码的问题,因为已经有很多指南可以解决这个问题。这更多是关于 SELinux 在内部是如何做到的。
我最近是 SELinux 的用户,但最近我与它有更多的接触。有一段时间有人问我如何在忘记密码的情况下重置 root 密码。
所以我启动了我的 CentOS,将 grub 条目编辑为类似
linux16 <kernel_location> root=/dev/mapper/centos-root rw init=/bin/bash
我跑了passwd然后跑了sync并强制重启。重新启动后,使用新密码和旧密码登录都被拒绝了。
再次重新启动并向内核传递参数以禁用 SELinux ( selinux=0)。尝试使用新密码登录,成功。之后我强制 fs 自动重新标记(通过文件.autorelabel),并且在 SELinux 处于活动状态时,现在可以登录了。
我的问题是:为什么会发生?当仅更改密码而不更改用户或对象时,为什么重新标记会影响登录?
感谢您的关注。
TL;DR:通常的 root 密码重置在 SELinux 中不起作用。为什么?
编辑:这是在运行 CentOS7 的虚拟机上测试的,KVM 作为管理程序。