何千ものサーバーのルートパスワードを管理するための最良のソリューションは何ですか

私はシステム管理者です。実稼働環境では、数千のサーバーを管理する必要があります。同僚と私は中央管理サーバーを使用し、その公開キーを他のサーバーを介して配布します。したがって、この管理サーバーを使用して、他のサーバーにSSH接続できます。

サーバーがダウンしている場合など、ルートパスワードを使用する必要がある場合があります。iLOを使用して理由を判断する必要があります。

現在、共有ルートパスワードを使用しています。安全ではありません。OPIE（One-time Passwords In Everything）のような単一のサーバーソリューションも調べましたが、サーバーが非常に多いため、これはあまり良い考えではありません。

編集：

パスワード管理ソリューションに必要なものは次のとおりです。

1. 安全でなければならないので、ワンタイムパスワードは優れたソリューションです。
2. パスワードは簡単に入力できます。モニターをサーバーに接続するか、上記のようにiLOを使用する必要がある場合があります。
3. サーバーがオフラインでも（ネットワーク接続なしで）ソリューションは機能するはずです

そのため、既知のコマンド（などopenssl passwd）から生成されますが、ルートパスワードを長くランダムな文字列に設定することはあまり良い考えではありません。覚えるのは難しく、時々生成するのは難しいです（ラップトップがないと）

Puppetを使用して、パスワードの変更をすべてのサーバーにプッシュできます。次のようなタイプrootを使用して定義します。user

    user { 'root':
            ensure => present,
            password => '$1$blablah$blahblahblahblah',
    }

暗号化されたパスワードを生成するには：

openssl passwd -1 -salt "blah"

おそらく毎月変更することをお勧めします---おそらくあなたのSAが記憶したスキームを使用します 安全な方法で配布したり、金庫に入れたりすることもできます。

常に無効なパスワードを設定することもできます。これにより、rootへのネットワークアクセスが妨げられ、シングルユーザーモードで起動した場合、ほとんどのディストリビューションはシェルから直接起動します。

これは、おそらくあなたが思うほどセキュリティ上の問題ではないでしょう。とにかくrootパスワードをバイパスするのは簡単です。パスワードでgrubをロックダウンしない限り、ほとんどの人はinitrdの代わりにbashを開始するように単にgrubに指示できます。

もちろん、これは、代わりにブートローダーをパスワードで保護する方法を理解する必要があることを意味する場合があります。

一元管理でワンタイムパスワードを使用できます。これは「ethがオフラインで、iLOを使用してサーバーにアクセスする場合に機能する必要がある」ことには当てはまりません。

とにかく：問題は、サーバーがオフラインになる頻度です。

したがって、次のセットアップを考えることができます。

privacyidea（http://www.privacyidea.org）などの集中管理されたOTPソリューションを使用します。いくつかの異なるOTPトークンをルートユーザーに割り当てることができます。各トークンには異なるOTP PINがあり、異なるデバイスです。したがって、すべての同僚はユーザーrootとしてログインできますが、監査ログでは認証されたトークンが表示されるため、どの同僚がいつログインしたかを知ることができます。

サーバーでは、認証要求をRADIUSおよびprivacyIDEAに渡すようにpam_radiusを構成する必要があります。

残念。これでサーバーがオフラインになります。この場合、PAMスタックで遊ぶ必要があります。私は次のようなものを考えることができます：

auth sufficient pam_unix.so
auth required pam_radius.so use_first_pass

そのため、固定パスワードでオフラインでログインできます。そうでない場合、パスワードはpam_radiusに渡され、privacyIDEAに対するOTPとして検証されます。

このhowto https://www.howtoforge.com/manage-two-factor-authentication-in-your-serverfarm-with-privacyideaを参照してください。