Gaius Blossius of HeliopolisOct 30

Moin #IT und #Security Fedis! Ich suche immer noch nach einer schönen Lösung zur #Passwortverwaltung für Ressourcen, auf die wir als Team zugreifen müssen. Ich habe immer noch nix gefunden was mir gefällt. Das sind die Anforderungen:

- 100% selfhosting OnPrem
- Aufbau einer Ordnerstruktur
- Darstellung von TOTP-Codes
- Benutzer- und Rechteverwaltung
- individuelle Hardwareschlüssel als 2FA pro User
- webbasierte Lösung oder plattformunabhängige Lösung

Habt ihr eine heiße #Empfehlung?

Show threadfuzzle @ cccfrOct 31
@blossius pass als git und die berechtigten pgp keys dann eintragen
Show threadGaius Blossius of Heliopolis
@fuzzle Du meinst die KeePass Datei ins git einchecken? Das scheint mir jetzt etwas umständlich. Und das Mergen zwischen verschiedenen Ständen innerhalb der KeePass-Anwendung dürfte da schnell zu einem Chaos führen.
Oct 31 at 6:03pmWeb
Show threadfuzzle @ cccfrNov 1
@blossius ne , pass kann auch einzelne dateien
schau mal unter
linux man pass
und da kann man gpg-id vergeben, die dann genutzt werden für die verschlüsselung. Wie am Ende der sync der Verzeichnisstruktur passiert ist eigentlich egal (ich schrieb git, kann aber auch auf nem schnöden shared ordner in samba/nextcloud sein)
Show threadGaius Blossius of HeliopolisNov 2

@fuzzle Ah! Du meintest nicht #KeePass sondern nur „#pass“ auf der Shell. Ok, das kannte ich noch nicht. Ich habe mal so die Vermutung, dass #Passbolt das im Backend benutzt.

https://www.passwordstore.org

Und es gibt auch einiges an Erweiterungen drum herum. Nicht alle meine User wären mit einem Shellfirst-Ansatz einverstanden 🫣.

Pass: The Standard Unix Password Manager

Pass is the standard unix password manager, a lightweight password manager that uses GPG and Git for Linux, BSD, and Mac OS X.

Show threadfuzzle @ cccfrNov 2
@blossius verstehe :)
wie diejenigen* die gpg dateien am Ende auf bekommen is ja der ihr Bier
Show threadGaius Blossius of HeliopolisNov 2
@fuzzle Ich glaube, die meisten haben vermutlich den Gitkraken laufen.
Show threadStefan Nov 2
@blossius @fuzzle es gibt auch passage mit age als „Backend“ anstatt GnuPG. Falls es jemanden interessiert
Show threadGaius Blossius of HeliopolisNov 2
@stefan @fuzzle Das hier? https://github.com/FiloSottile/passage
GitHub - FiloSottile/passage: A fork of password-store (https://www.passwordstore.org) that uses age (https://age-encryption.org) as backend.

A fork of password-store (https://www.passwordstore.org) that uses age (https://age-encryption.org) as backend. - FiloSottile/passage

GitHub
Show threadStefan Nov 2
@blossius @fuzzle genau das
Show threadfuzzle @ cccfrNov 1

@blossius
aus dem halbwissen heraus

mkdir sub-folder
vi sub-folder/.gpg-id
#darin pro zeile eine der emails zu denen verschlüsselt werden soll, der gpg agent übernimmt die verwaltung

pass init --path=sub-folder sub-folder/.gpg-id

dann kann man mit
pass edit newpassword
pass generate projektfoo/drölftepw

die passwörter editieren, die werden dann dank des gpg agent automagisch für die in der .gpg-id hinterlegten keys verschlüsselt.