我的建議是從保管箱中刪除機密，並將其存儲在其他位置。任何人都必須易於理解您的指令，但其中可能包含有關如何訪問數據的適當保護部分的指令。這樣一來，您就可以將事物的可訪問性方面與安全方面分開。

一旦您可以單獨考慮安全性，就可以開始問一個真正的問題：需要多少保護這些密鑰？這是一個業務邏輯問題，因此請諮詢您的管理層。您可能：

• 為每個人都知道的文件設置密碼
• 為文件設置了多個密碼，以便每個人維護自己的副本。
• 具有由N出M算法鎖定的文件（相當於需要兩個鑰匙才能解鎖保險箱的數字形式）。
• 具有由N出的M算法算法（只有一個）無論哪個組解鎖文件，都需要“主”密碼，並且一個主被物理地保存在防篡改的保險箱中，您可以不時檢查一下。

在此處使用創造力。 無論您做什麼，“指令”與“敏感信息”的分離都使您可以適當保護信息，然後提供有關如何稍後獲取數據的說明。

您的業務邏輯決策還將包括正常運行時間問題。如果您的生活出了問題，那麼另一位管理員必須花多長時間才能影響您的業務？考慮在服務器故障的情況下您希望這些說明和敏感信息的複製程度如何。當我管理服務器並需要存儲有關如何從備份中還原它的說明時，我使用服務器自己的Wiki來存儲該信息以便於查看，但是很明顯，在出現故障的情況下，它並沒有那麼有用，所以我也在該計算機的開發VM上有一個副本，將其副本保存在3台單獨的PC上並打印輸出。我不能保證打印輸出會保持最新，但是我確保可以做到最好。

這也指出了一些並非總是受公交計劃影響的事情：優美降解。並非所有的公交車撞車場景都涉及到公交車撞車。有些牽涉到您不幸地無法進入。有些涉及您離開公司，但可以提出一個或兩個問題。其他...不。考慮分層計劃。較小的事故可能得到很好的保護，而較大的事故仍可能在每個人聚在一起時造成業務損失，但沒有永久的後果。以我的備份恢復計劃為例，幾乎可以保證打印的版本不是最新的。但是，如果雷電摧毀了一個城市街區的每台計算機，那麼它總比沒有有用。另一方面，如果服務器只是一個硬盤驅動器，而我不得不從備份中還原，則幾乎可以肯定我在開發箱上保持同步的版本是最新的。

此失敗的示例：我是一個由KERBEROS管理的網絡上的用戶，該管理員不信任其他人，並且沒有按巴士打車的計劃。當他...離開時，我們舉行了一次黑客聚會來嘗試破壞他的服務器。最後，我們最好的即按即乘的計劃是擦拭機器（每台機器）並從頭開始。請注意，儘管這不是最佳計劃（實際上，我認為這是最糟糕的計劃？），但業務仍在繼續發展。我們剛停滯了大約兩天，有一群脾氣暴躁的客戶。用弗蘭克·赫伯特（Frank Herbert）的《沙丘》（Dune）的話來說，“香料必須流動。”即使在最壞的情況下（這可能涉及到您的服務器的硬盤驅動器突然掉出總線並擊中您的頭，破壞了按總線計劃的所有記錄的奇怪事件），​​企業還是這樣做有辦法繼續前進...但是我贊成嘗試將標準提高一點！

獲取USB設備。將所有機密信息放入USB，最好放在KeePass文件中。在文檔中，告訴新用戶USB的位置以及如何解鎖，但請將設備放在安全的物理位置，例如所有者的辦公室，公司的保險箱，安全的保管箱等。公開，遠離其他員工的窺視。

此計劃的優點是：

• 它不在Internet或內部網絡上
• 您可以放心，新員工至少已管理讓說服存儲區的負責人確信它們是真實的（而且很可能會由高級別的員工側翼，甚至靠近您的存儲區）。
• 如果某人試圖在您之前被閃存驅動器撞到閃存驅動器，那麼某人可能應該對自己說：“嗯，安德魯還活著。為什麼有人要觸摸它？”
• 如果有人找到了您的文檔，則可能造成的損失是有限的（尤其是如果他們設法通過Internet闖入–很少有人會出差以獲取您的信息）。

要找到好東西，他們需要1）您的文檔，2）物理訪問，3）您“渴望峽灣”。 USB對下一個人來說也是一個很好的小包裝-即插即用！還是恐慌，這取決於您對公司的重要性。

創建“僅緊急用途”帳戶

對於大多數係統，您將擁有日常管理中使用的某種特權帳戶，這些特權帳戶可能會或可能不會根據您的組織策略進行個性化設置。

對於任何憑據，您可能由於各種原因而失去對它們的訪問權限-可能是因為知道憑據被公共汽車撞到的人，或者是丟失了該憑據的預期安全存儲（例如，丟失了計算機中的憑據）火災）或通過某種方式設法將密碼更改為他們不知道的密碼，等等。

有用的是為具有完全訪問權限但不打算用於以下目的的關鍵系統創建單獨的帳戶日常使用。這意味著：

1. 此刻，沒有人無法訪問它們-沒有人知道所需的密碼。
2. 如果有人訪問了它們，則應該通知每個人（因為在正常情況下不應該發生）。例如，自動腳本可以在登錄時向多個關鍵用戶發送電子郵件，如果這些帳戶運行了某些操作，這些帳戶的所有操作都會被記錄下來，並且您的日常監控會亮起。
3. 需要時，人們可以訪問這些帳戶-一種簡單的方法是生成一個長密碼或密鑰，將其打印出來，放入密封並簽名的信封中，然後將其鎖定在安全的保險箱中。
ol>

放回去程序和憑據

在維護程序，按公交計劃和輔助憑據列表時，可以使用方便的任何方式-只需確保這些文檔或密碼數據庫也可以從緊急使用帳戶訪問。

也許對您的情況更好的解決方案是設計系統，以便即使您被公交車撞到，並且您的憑證也永遠丟失，也不會發生任何不良情況。

也許最好考慮一下該問題分為兩個問題，即 authentication 和 authorization 。

身份驗證可確定您所聲稱的身份。某些系統可以知道該請求確實來自您，因為只有擁有您憑據的人才可以發出請求，並且只有您知道憑據。

授權可以證明您允許做某件事。請求可以是真實的，但未經授權。

如果至少有兩個人被授權做某事，那麼其中一個人是否被公交車撞到都沒關係。愛麗絲可能會被公共汽車殺死，並且其身份信息將永遠丟失。但是Bob知道自己的憑據，並且有權做Alice可以做的任何事情。撤銷一個人的證書。前僱員，特別是那些條件不好的僱員，是安全責任。您不能強迫前員工忘記密碼，因此，為了安全起見，每當員工離職時都應更改所有共享密碼。在實踐中，這太痛苦了，沒有解決。首先不共享密碼可以解決問題。

從不共享密碼也不會保留問責制。您不能沒有管理員就經營一家公司，但是您希望能夠知道某個管理員是否濫用了他的權力。最終，終止或提起訴訟的威脅使任何管理員免受濫用。如果密碼是共享的，那麼“必須是使用該密碼的其他管理員之一”是合理的辯護。

有時您會遇到無法避免共享密碼的情況。但是，即使不是立即顯而易見，通常也有解決方案。

您是否需要共享root密碼？不，您根本無法擁有root密碼，而要使用 sudo 。

AWS根憑證如何？您可以改用IAM。

也許您有一個無法避免的特別死於大腦的Web應用程序？您可能無法解決此問題，但可以掩蓋它：使用密碼管理器，該密碼管理器允許在多個用戶之間共享憑據。 （我知道LastPass可以做到這一點）。在您仍然共享密碼的同時，您至少擁有一種自動方式來更改它並分發新密碼的知識。至少在員工離職時更改密碼，但最好更改一次。

這裡的大多數答案與憑據的處理有關，這可能是由於OP中存在以下明確問題：

什麼是管理“秘密”（密碼，私鑰）的最佳方法？ ，可以訪問本文檔中的MFA），以確保它在不損害安全性的情況下仍能保持全面性？

不過，標題提出了另一個問題，但我認為該問題沒有解決：

制定安全的公交計劃

回答 問題是自動化。

在devops中，我發現該職位的大多數服務器端分為兩類：

• 修復基礎架構：通常沒有什麼可做的自動化：每個問題都不相同。在那些情況下，熟悉基礎架構（服務器，網絡，開發人員如何與Git倉庫交互）是關鍵。

• 維護基礎架構：創建新的VM實例，設置 Apache，使開發人員能夠訪問資源等。這是自動化程度最高的地方。

自動化在後者中的作用顯而易見，成功解決前者問題的關鍵是後者的自動化。自動化的Python和Bash腳本充當服務器和網絡預期的生存文檔 ​​strong>：當工作流程更改時，腳本也會更改。 Git記錄可能適用於舊服務器的更改，而git commit消息是明確的。

這不是關於如何執行此操作的另一種主意，而是標記出尚未討論但非常重要的內容的要點。我從這些秘密確實對業務至關重要的角度出發。

測試。

已經提出了一些災難恢復方案。有些簡單，有些更複雜。複雜性越高，測試的原因就越多。這個問題來自於您如何測試在業務關鍵環境中被“移出”現場的某人？在聖誕節交易期間，將20mm的圓角通過您的生產服務器與您的主要IT人士隔離，將很難通過玩具工廠的董事會。這是董事會面臨的困境。如果重要，則需要對其進行測試。測試太重要了嗎？

簡單的事情會吸引您。有人提到將數據放入保險箱。大。許多人將保險箱放在安全的地下室，並遠離人們。這也是在小火後最初充滿水的地方。另一個;您狡猾的工資單業務員一直在對您的工資單進行真正的狡猾。警察進來沒收您所有的服務器以進行隨後的調查。需要一年的時間才能把他們帶回來。

業務連續性是一門相當成熟的藝術，所以要做的就是NASA，Google，巴克萊，軍隊和核電站。進行冗餘處理。很抱歉，Andrew這麼說，但是在這種情況下，您是公司的主要風險。需要使董事會意識到這一點，並且您和至少一些工具包需要冗餘（從重複的意義上講）。人身保險和/或業務連續性保險。

我的情況與中型公司的唯一IT管理員的情況非常相似，該公司在不同平台上有很多分散且鬆散相關的自定義軟件。更糟糕的是，在過去的十年中，我為公司編寫了所有軟件，從其POS系統到在線預訂，自製CMS，員工培訓軟件等。在這一點上，我是唯一了解或擁有過的人甚至看到了這些東西的來源。隨著公司的發展，我不止一次被要求不要被公共汽車撞到。我將告訴您我們對此採取的解決方案。

1. 了解會有乾擾。管理期望。如果公司不想僱用多餘的人（大概是高薪的人）來學習您所知道的一切，那麼他們需要期望在緊急情況下需要進來的任何人的學習曲線都會非常陡峭嘗試填補你的鞋子。不管您的文檔多麼出色，都是如此。

2. 請確保服務費將發給公司，而不是發給您。 >

   業務文檔的連續性。有一次，我被要求寫一個簡單的英文文檔，公司的首席執行官可以閱讀，確切地了解我們擁有的服務器，每台服務器上的內容，每件軟件的功能以及這些密碼帳戶。其中包含針對任何需要並保持運行的人員的註釋和技巧。但是，根據（1）可以理解，這將需要一本書來詳細解釋所有軟件的功能，已知問題和局限性以及結構。因此，本文檔包含了基本的要點，希望一旦有人進入代碼，他們將開始查看cron任務並閱讀註釋並掌握其工作方式。

ol>

我會在必要時更新連續性文檔，PGP會對它進行加密，以便只能由公司首席執行官和我本人打開，並將其上傳到他們的網絡服務器上，到他知道的地址。 CEO負責確保其PGP密鑰的安全。就是全部了。

聽著-如果在死後他們甚至都不會讓你放鬆，那麼該是時候要求加薪了。

您的解決方案為了全面，必須是程序和技術控制的結合。理解它的最好方法是將技術控件視為增強程序安全性的功能。它們使某些控件成為可能，而其他控件則更易於執行。

請記住，這很大程度上取決於您使用PKI的方式。如果您的組織規模較小，預算限制可能會限制您的工作，但如果可能，我建議您使用硬件安全模塊（HSM）保護您的私鑰-至少要保護您的私鑰內部CA（如果有）。這個領域的供應商包括Thales和SafeNet。

關於密碼，有許多旨在為組織服務的密碼管理解決方案。尋找的最重要的事情是以下兩件事之一：一種解決方案，它使用戶能夠在預定的時間範圍內為完成其工作所需的訪問權限授予權限，而不必向該用戶提供實際的密碼。系統/應用程序，和/或旨在支持秘密秘密知識（其中沒有一個人擁有完整的密碼）的系統。

某些安全廠商提供了一種在AD中創建額外角色分離的方法域管理員或數據庫管理員可以執行此操作（例如，他們可以將用戶添加到組中，但不能真正打開/修改該組成員通常有權使用的文件的功能-該功能將由另一個同樣無法將用戶添加/刪除到組的管理員）。 Vormetric就是這樣的一家供應商-他們使用他們的靜態數據加密產品來做到這一點。

儘管高級管理人員支持對於任何組織的安全策略的成功都很重要，但在缺少提供這些功能的供應商解決方案的情況下，這一點尤為重要-因為這意味著您可能需要加強安全意識計劃，以促進一種文化變革，該變革將支持大多數IT用戶不習慣的必要程序控制-在嚴格控制域和企業管理員特權的情況下，只有在獲得變更管理批准後，並且才在特定時間段內才有權授予該權限。 IT管​​理員必須包含多人密碼+物理控件。

示例包括使用2-4個人生成一半的12個字符的密碼。一對人員生成密碼，並將其輸入到“新密碼”字段中。第二對重新輸入第一對創建的密碼組件（以確保第一對中的一個不會每次都惡意或無意地錯誤鍵入密碼，從而使更改密碼後無法訪問該帳戶）。使用第二對人員還可以確保密碼清晰易讀。更改密碼後，然後將密碼片段存儲在單獨的不透明信封中，進行密封，標記和存放在防篡改袋中。然後可以將袋子放在實物保險箱中。複製異地備份存儲的過程，但合併過程以確保每次為每個站點複製密碼更新。如果明顯的篡改存儲空間不足，請尋找經過GSA認可的雙重組合保險櫃（X-10 Kaba Mas，例如），並採用相同的拆分知識程序。為了提供額外的保護，請將保險箱存儲在帶有監控該區域的CCTV攝像頭系統的位置，並向所有員工發出警告，指出未經事先書面許可進入該區域的任何人都可能會遭到解僱-同樣，這應該發生從頂部開始。

這實際上僅取決於您的威脅模型以及您的組織對安全性的偏好。