Outils pour utilisateurs

Outils du site


admin:services:federezpasswords

Gestion centralisée des mots de passe avec chiffrement GPG

Pour stocker les mots de passe et permettre aux admins d'y accéder sans pour autant les écrire en clair dans un /root

Principe

Le client (l'utilisateur) appelle un script qui établit une connexion ssh vers le serveur de mots de passe, qui lui possède le script serveur. Le client demande un mot de passe, le serveur vérifie que l'uid qui l'a demandé est autorisé à accéder à ce mot de passe et lui envoie.

Les mots de passe sont stockés gpg-chiffrés avec les clés des gens qui ont le droit d'y accéder.
Le script client invoque donc ensuite gpg pour déchiffrer le fichier et afficher le mot de passe. Il faut pour cela que le client possède la clé GPG privée.

Origine

federezpasswords est simplement une branche de cranspasswords, dont la doc est ici.

Installation

Client

git clone ssh://hexagon.federez.net/git/federezpasswords.git
cd federezpasswords
make install

Attention, cela place le script dans ~/bin/federezpasswords et une configuration dans ~/.config/federezpasswords/.

On peut utiliser le fichier bash_completion fourni dans le dépôt, mais il faut activer manuellement la complétion.
Par exemple en exécutant dans le .bashrc :

complete -F _cranspasswords_completion federezpasswords

(Cela permet d'appeler le script autrement, si on le désire)

Serveur

Le serveur a également besoin d'être installé pour que tout fonctionne.
Il y a des variables définies au début du Makefile si on veut renommer la commande ou changer le groupe qui a le droit de faire le sudo (par défaut, sudoldap).

git clone ssh://hexagon.federez.net/git/federezpasswords.git
cd federezpasswords
sudo make install-server

Le script serveur est alors installé dans /usr/local/bin/federezpasswords-server, la config dans /etc/federezpasswords/ et les mots de passes sont stockés dans /var/lib/federezpasswords/db.

Utilisation

Vérifiez que vous avez ~/bin dans votre $PATH.

Obtenir la liste des mots de passe :

federezpasswords --list

Lire le mot de passe mdp :

federezpasswords mdp

Modifier le mot de passe mdp :

federezpasswords --edit mdp

Pour une liste complète des commandes :

federezpasswords --help

Clown

Il y a un serveur réplica en lecture seule des mots de passes stockés sur hexagon. Il s'agit de quigon.

La réplication fonctionne sur le même principe que la réplication du wiki1).

1)
bon en vrai c'est surtout la réplication du wiki qui a été pompée sur celle de federezpasswords… Zertrin
admin/services/federezpasswords.txt · Dernière modification: 2015/03/11 03:19 de vincent.le-gallic