Drift/Bytte ytre rotpassord

Når skal man bytte passordet

Passordet skal endres i tilfeller der minst ett av punktene under er aktuelle

• CERT mener det skal byttes
• Drift er enige om at det skal byttes

eller

• Passordet har blitt lekket
• Passordet har blitt misbrukt av driftere
• Systemer har vært kompromittert på en slik måte at uvedkomne har fått tilgang
• Det er mistanke om, eller tegn til, noen av situasjonene over

FØR passordbytte

• Informer CERT og Driftskoordinator
• Samkjør med andre driftere
• Behandle årsaken til at passordet må byttes, hvis aktuelt. For eksempel:
  • Tett sikkerhetshull
  • Skriv bedre sikkerhetsrutiner
  • Kommuniser retningslinjer og råd til driftsmedlemmene
  • Vurder sikkerhetsprosedyrene
• Generer et nytt passord
  • Følg gjeldende råd for passordsikkerhet
  • Unngå vanlige ord og mønster
  • Unngå tidsbasert randomness
  • Eksempelkommando:

  • strings /dev/urandom | grep -o '[[:alnum:]]' | head -n 20 | tr -d '\n'; echo 

• Identifiser alle maskinene som skal ha passordet og noter i en liste

  • sleipner:~$ sudo salt-key -L

  • microbel:~$ ruptime

  • Maskiner
  • Maskinene er vanligvis i en av kategoriene:
    • Terminaler på terminalrommet
    • Andre maskiner i lokalene (Tallulah, skrott, ameno, etc.)
    • Fysiske servere på serverrommet som ikke har indre rotpassord
    • VMer på alle VM-tjenere i Maskiner

• Identifiser alle tjenester som skal ha passordet. For eksempel:
  • http://list.pvv.ntnu.no -> Maillinglister som "Aktive" og "Nyhetsbrev"
  • VM-tjenere som Maskiner/joshua (Ikke de med indre rot)
  • (?) PVV-brukeren på noen maskiner (?)
  • Homeassistant
  • Styrets Google-konto
  • root på MariaDB/MySQL på Maskiner/bicep

Hvordan bytte passord

• Gå inn på hver maskin, enkeltvis med ssh eller seriell (For eksempel med KVM på serverrommet)
  • Kjør kommandoen

    passwd

    som root for å faktisk gjøre endringen
  • Prøv å logge inn, feks med "su", for å sjekke at det er satt riktig
  • Noter byttet i listen din over maskiner

• Logg inn på hver tjeneste som skal ha passordet

Etter passordbytte

• Gi passordet til medlemmer i CERT
• Distribuer *sikkert* til aktive driftere, ved:
  • Fysisk oppmøte / muntlig overlevering
  • E-post, må være kryptert med PGP eller lignende
  • Fil på salt-masteren (root@sleipner:~/rotpassord), tilgjengelig for brukere med admin-principal
  • Deling på en sikker "password manager"-tjeneste

Tanker til senere

• Salt kjører som root, lag et script for å bytte passord fra salt-masteren
• Skriv en guide for å få tilgang gjennom "Single User Mode" eller "systemd.debug_shell"
• Lage eller finne et register over PGP-, RSA- eller lignende nøkler for aktive driftere
• Flytt over alle eksterne tjenester til andre passordm ikke gjenbruk dette