[MataroSensefils] Millorar el control de l'administració (Re: Accès al supernode de TecnoCampus)

Esteve Olm esteve.olm a gmail.com
dic set 26 17:07:59 CEST 2018 

Pel trastos UBNT, la idea de posar un password prou complexe a cada 
trasto sembla ser la única solució, i per seguretat s'hauria d'anar 
canviant sovint.

La millor manera de "compartir" aquests passwors seria amb algo tipo 
TeamPass (https://teampass.net/), que no és altra cosa que una BBDD 
accessible via web per guardar-los encriptats. A cada usuari o grup, se 
li poden assignar rols que li donaran accés a una sèrie de passwords.  
Si coneixeu KeePass, ve a ser lo mateix però en web.

És una mica de feina de configurar, però un cop muntat serviria per 
guardar també els dels mikrotik, o també claus d'accés a servidors (DNS, 
nagios...). Lo únic que cal tenir en compte és que cada cop que es 
canvia un password caldria actualitzar la BBDD.

La BBDD és jerárquica, es pot organitzar per zones i tipus de trasto, 
així és més fàcil donar (i treure) permisos de difernts trastos a 
diferents usuaris.

Amb els permisos adeqüats, cadascú podria fer servir aquest TeamPass per 
crear els seus nodes, mantenir els seus passwords i decidir amb qui els 
comparteix.

Nota: conec TeamPass perquè el faig servir en un client, però segurament 
hi hagi alternatives similars... només és una proposta.






El 26/9/18 a les 15:38, DataLab ha escrit:
> Hola!
>
> La idea de tenir un usuari per cada administrador i, probablement una 
> política per els passwords individuals en quan a durada i complexitat, 
> és molt bona i està al dia amb les recomanacions mínimes de seguretat.
>
> Per tant per a mi d'acord i demano, si us plau, que m'hi afegiu amb el 
> nom de usuari "datalab".
>
> Això serà possible en els routerOS i crec que en els edgeOS però, 
> malauradament, no ho és en els UBNT.
>
> No sé si podríem, en aquest darrer cas, tenir un password prou 
> complexe diferent a cada trasto UBNT i els administradors tenir un 
> clau per cadascun amb el que connectar-se amb ssh si cal i si la 
> connexió és per https:// llavors es pot usar el navegador per guardar 
> el password prou complexa. Sé que no és ideal però ho crec millor que 
> el que hi ha ara.
>
> Que en penseu?
>
> Gràcies!
> Ramon - DataLab
> El 26/09/18 a les 15:01, Jordi Clopes Esteban ha escrit:
>> Bona tarda,
>>
>> L'Ivan em va crear un usuari per a mi. Gràcies
>>
>> L'Ivan proposa millorar el control dels usuaris que serveixen per 
>> administrar els supernodes. Penso que qualsevol canvi orientat a 
>> millorar, benvingut sigui sempre. Fins ara a Mataró hem tingut un 
>> usuari genèric compartit pels administradors de Mataró.
>>
>> Tant els voluntaris que ho sol·licitin i empreses instal·ladores que 
>> gestionen els nodes, han de tenir usuari i clau d'administració. A 
>> banda, fora bo que hi hagués un usuari "convidat" amb permís de 
>> lectura, per tal de complir els Comuns i permetre veure en tot moment 
>> com està configurada la xarxa.
>>
>> Segur que hi ha propostes de com podem fer això i opinions sobre el 
>> tema. Us va bé anar-ho comentant per aquí i , si veiem que cal, 
>> concretem un dia per fer una reunió presencial i decidim? Us sembla 
>> bé de plaç tenir quelcom decidit a principis de la setmana que ve?
>>
>> Va! Som-hi!
>>
>> Jordi
>>
>>
>> _______________________________________________
>> llista_matarosensefils.net llista de correu
>> llista_matarosensefils.net a llistes.anem.be
>> https://llistes.anem.be/listinfo/llista_matarosensefils.net
>>
>> Recorda que pots contribuir en el manteniment de la xarxa sense fils de Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 0182-3882-00-0201616289 (IBAN ES1301823882000201616289)
>>
>> Per esborrar-te de la llista envia un correullista-request a matarosensefils.net  amb la paraula "unsubscribe" en l'assumpte del correu
>>
>> Llista hostatjada al Servidor Autogestionat Burriac del HacKlAb NòmAdA
>>   
>
>
>
> _______________________________________________
> llista_matarosensefils.net llista de correu
> llista_matarosensefils.net a llistes.anem.be
> https://llistes.anem.be/listinfo/llista_matarosensefils.net
>
> Recorda que pots contribuir en el manteniment de la xarxa sense fils de Mataró pagant una quota voluntària de 2 €/mes (24 €/any) al nº de compte 0182-3882-00-0201616289 (IBAN ES1301823882000201616289)
>
> Per esborrar-te de la llista envia un correu llista-request a matarosensefils.net amb la paraula "unsubscribe" en l'assumpte del correu
>
> Llista hostatjada al Servidor Autogestionat Burriac del HacKlAb NòmAdA
>   

-------------- part següent --------------
Un document HTML ha estat eliminat...
URL: <http://llistes.anem.be/pipermail/llista_matarosensefils.net/attachments/20180926/f5232f2e/attachment-0001.html>

Més informació sobre la llista de correu llista_matarosensefils.net