demande de dev: Base mots de passes

jm.cierniewski · 2006-02-17 13:44:07

Salut les amis....

j'ai aujourd'hui une problématique de mots de passes "locaux" sur mes serveurs...
on me demande de trouver un "truc" pour pouvoir diffuser de manière sécurisée les mots de passes locaux de nos machines.

pour situer le probléme.
nous avons une 20 ene de sites en france, chaque site était géré par un admin local, qui avait l'habitude de mettre des mdp folkloriques sur ces machines.... Bref, un admin par site, 20 sites, des mdp qui changent suivant l'humeure et l'époque = une quantité de mdp hallucinante...

Pour l'instant, la solution,,, on se passe des fichiers excels protégés..... BOF

La je cherche parmis les freewares des machins permettant de gérer tout ça... il y en a des pas mal, mais ils manquent un peu de sécurité. il faudrait tant qu'a faire que tout les mdp ne soient pas accessible a tout le monde... et puis un mdp, ca se donne, ca se perd...

alors je me suis dit ... Et GLPI...;

On a une gestion d'utilisateur, il doit bien y avoir moyen que quelqu'un de compétant, sympatique, dévoué , nous crée un chti plugin pour gérer tout ça...

concrétement, il faudrait un tableau gérant tout ça et prenant en compte: un nom de machine, un site, un login, un mots de passe, un commentaire et un n de criticité ( 1;2;3)..

il faudrait de plus que l'affichage soit soumis à des restrictions d'acces suivant des utilisateurs...
en gros on récupére la base user de glpi, et quelque part on peut donner à l'utilisateur "dupont" les droits d'acces sur les mdp des site x, y , z et de criticité 2 par exemple.

explication de la criticité...

nous avons des admins "serveurs" et des admins "active directory" .
les admins serveurs n'ont pas le droit de toucher aux serveurs active directory. ( méme pour faire une bricole dessus)
donc sur un méme site, on va dire qu'il y a deux niveaux de droits d'admins...
Donc on va avoir des gens qui aurront acces uniquement a leur site d'origine et aux serveurs standards, d'autres qui aurront acces à tout les serveurs de tout les sites, mais uniquement aux serveurs standards.... d'autres encores qui ont acces à tout...
Donc il nous faut prendre en compte quelque chose que j'appel "criticité", mais qu'on pourrait appeler catégorie, ou service...

IronTUX · 2006-02-17 14:02:32

Pas mal comme idée même dans mon cas ou je n'ai qu'un seul site et ou l'on est que 2 à administrer les serveurs cela pourrait tous simplement servir de pense-bête.

Plus besoin de se faire chier à retenir 15 mot de passe il suffit de le chercher dans GLPI

Last edited by IronTUX (2006-02-17 14:02:47)

baaz · 2006-02-17 14:16:46

Pour des raisons évidentes (enfin à mon avis) de sécurité nous nous sommes toujours refusé de stocker des mots de passes en clair dans la base de donnée de GLPI.
Ce n'est pas la première fois que l'on nous demande ce genre de choses.

jm.cierniewski · 2006-02-17 14:45:54

la sécurité a toujours été une question épineuse....

bon normalement seul les admins peuvent taper dans la base mysql, il faut avoir un mdp pour cela...
bon je suis bien d'accord , il doit exister quantité de crack, de hack, de solutions pour taper dedans violement...

maintenant, il faut voir entre pas de sécurité, un peut de sécu et une sécu parano.
pour l'instant nous ,( et pleins d'autres boite, j'en suis sur ) on utilise un truc débile et non sécurisé...

Chaqu'un note sur un chti cahier ces mots de passes...;

Bref, quand j'ai besoin d'un mdp, d'un autre site, je telephone à l'admin de l'autre site pour lui demander un login/mdp ( bien évidement je ne l'ai jamais vu ce gar la ). La deux solution
1) il me le donne sans probléme... super sécu: un coup de fil, chui monsieur dupon, et op op op j'ai le login mdp....
2) il refuse obstinément de me donner se mdp... super sécu (2) parce que moi j'en ai besoin pour bosser... bref ,appel à mon chef, qui appel le chef de l'autre...gna gna gna perte de temps.....

du coup on a mis en place une nouvelle méthode, on s'envoie par mail des "excels" sécurisés par mdp... du coup on a un fichier avec "tout les mdp de l'entreprise" et un chti mdp excel pour protégé tout ça....

Super sécu (3) un fichier, ca se donne, un mdp ca se dit "sous le sceaux du plus grand secret" et en plus ça se crack...

Alors, une base mysql, gérant des mdps visibles uniquement par des users glpi authentifiés, ( par ldap) ce serait un bond en avant coté sécu..... Sans étre l'arme absolue, on en est bien conscient

Jm0u · 2006-02-18 11:19:11

jm et Irontux pour ma part nous avons pris le "risque" dans ma soiciété de gérer les mot de passe dans un module que j'ai creer.

Il n'y a que les super admins qui on accés à ce module. De plus notre GLPI est sécurisé en https donc au niveau sécu c'est pas trop mal.

Je vais faire un chti plugin pour que si d'autre personne veulent gérer les mots de passe avec GLPI le fasse.

Voilà.

Jm0u

JMD · 2006-02-18 13:20:26

Je vais donner mon point de vue, même si on me le demande pas forcément

1) Troll :Si vous voulez vous simplifiez là vie au niveau des problématiques d'accés, passez sous Linux, il y a tout ce qu'il faut pour gérer des clés ssh, des trousseaux, des mots passe (ssh agent).

2) Nous ne voulons pas cautionner ce que vous proposez pour les raisons suivantes : Stocker ce genre de choses en clair dans un DB est dangereux et nous ne souhaitons pas l'encourager.

En dehors des problématiques d'attaques extérieures (ce à quoi on pense en premier...) qui pour moi relève de la politique de sécurité du réseau et du serveur, il y a tout simplement les failles de sécurité potentielles de GLPI qui sont exploitables par des des gens de l'extérieur comme de l'intérieur (salarié malveillant, prestataire extérieur, stagiaire, intérimaire....).

Et je peux vous dire sans jouer les cassandres que des failles il y en aura... Même si nous mettons tout en oeuvre pour que ça n'arrive pas. GLPI c'est plus de 60 000 lignes de codes. On fait attention, certains nous aide à auditer le code mais on est à l'abri de rien.

Ps : Jmou, les connexions ssl ne protègent absolument pas des problèmes que j'ai évoqué précedemment

Jm0u · 2006-02-18 13:26:34

Ok JMD ta remarque on te la pas demandé mais elle est la bien venue :):)

Bon sinon JMD le plugin est dans ta boîte mail.

A vous de voir si vous voulez la diffuser.
Vous pouvez la diffuser en stipulant que rien de vous engage a stocker les mdp dans une BDD et que vous n'etent pas résponsable de cela.

Enfin bred le plugin est fait :) est il est dans ta boîte mail

Jm0u

jm.cierniewski · 2006-02-18 16:43:17

n'est il pas possible de crypter les mdp avant de les enregistrer dans la mdb ?

jm.cierniewski · 2006-02-19 19:18:57

Salut jmou,
pourrais tu m'envoyer par mail ton plugin svp, il m'intéresse bigrement , d'autant que c'est moi qui est initié le post ...

En fait , pour tout dire, dans l'idéal, il faudrait dans ce plugin, pouvoir récupérer les comptes des utilisateurs glpi, et leur ajouter un "profil" qui leur donnerai acces, ou non, à certains éléments de la base de mots de passe .
Pour savoir si on a droit ou non a un mdp, il faudrait que le mdp ait pour caractéristique , un site ( le site de l'ordi sur lequel il s'applique en fait) et un n° de " criticité" de 1 à 3. Donc en fait, au niveau utilisateur, il faudrait pouvoir dire que l'utilisateur x a droits aux mdp du site a criticité 1, du site 2 criticité 3... etc.... etc...
je te redonne mon adresse mail
jm.cierniewski(at)free.fr

Bon week end

Cuty · 2008-05-19 13:53:52

Bonjour, desolé de remonter ce post, mais pourriez vous m'envoyer ce plugin également svp ?

et pourquoi pas, si le temps me le permet , de l'améliorer et d'y incorporer un cryptage dans la base de données en fonction d'une clef donnée

Merci

tsmr · 2008-05-19 14:00:15

Si on parle du plugin compte, il est dispo sur le site de glpi et le cryptage sera opérationnel en 0.71

Forum GLPI-Project

Announcement

#1 2006-02-17 13:44:07

demande de dev: Base mots de passes

#2 2006-02-17 14:02:32

Re: demande de dev: Base mots de passes

#3 2006-02-17 14:16:46

Re: demande de dev: Base mots de passes

#4 2006-02-17 14:45:54

Re: demande de dev: Base mots de passes

#5 2006-02-18 11:19:11

Re: demande de dev: Base mots de passes

#6 2006-02-18 13:20:26

Re: demande de dev: Base mots de passes

#7 2006-02-18 13:26:34

Re: demande de dev: Base mots de passes

#8 2006-02-18 16:43:17

Re: demande de dev: Base mots de passes

#9 2006-02-19 19:18:57

Re: demande de dev: Base mots de passes

#10 2008-05-19 13:53:52

Re: demande de dev: Base mots de passes

#11 2008-05-19 14:00:15

Re: demande de dev: Base mots de passes

Board footer