Hoy voy a analizar RatticDB otro gestor de contraseñas opensource que podemos usar para compartir las credenciales con nuestro equipo de trabajo.

Como RatticDB ofrece una versión de demo online, no voy a explicar el proceso de instalación. Sólo analizaré el funcionamiento de la aplicación, pero antes de empezar me gustaría recalcar que el que quiera instalarlo debe tener muy en cuenta que esta aplicación no cifra los campos de las contraseñas y que para usarla de forma segura, el propio autor recomienda cifrar el disco del sistema operativo linux que vayamos a usar.

Para acceder a la demo online visita la web: https://demo.rattic.org

credenciales

Crear un grupo en RatticDB:

Los grupos de forma habitual son muy útiles para administrar grandes entornos de usuarios con características similares. En los siguientes pasos, explico como crear uno:

1. Abre una sesión en RatticDB.

2. En la parte superior de la pantalla pulsa sobre el botón Staff Management.

3. Pulsa el botón Add Group.

4. En el campo Name, escribe el nombre del grupo y pulsa Submit.

crear grupo RatticDB

Crear un usuario en RatticDB:

Para crear un usuario en RatticDB sigue los siguientes pasos:

1.Abre sesión en la demo y a continuación pulsa el botón Staff Management.

2. Pulsa el botón Add User.

3. En el campo Username, escribe el nombre de usuario. En el campo Email address, la dirección de correo electrónico, marca la casilla Active para activar el usuario. En el campo Groups, escribe el nombre del grupo al cual debe pertenecer ese usuario. En los campos Newpass y Confirmpass, escribe la contraseña del usuario (mínimo 8 caracteres). Para terminar pulsa Submit.

crear usuario

Gruarda contraseñas en RatticDB:

Para añadir una contraseña al gestor RatticDB sigue los siguientes pasos:

1. Abre una sesión en RatticDB.

2. Pulsa el botón Passwords.

3. Pulsa sobre Add New.

4. En el campo Title, escribe un titulo para la nueva credencial. El campo URL es obligatorio, tienes que escribir una URL (esto en algunos entornos no tiene sentido, pero recomiendo poner la IP del servidor con el protoco http). En el campo Username, escribe el nombre de usuario. En el campo password, la contraseña que quieras almacenar. En el campo Description puedes añadir una descripción. En los campos Owner Group y viewers Groups puedes añadir grupos que hayas creado con anterioridad (tendría su lógica si lo ha creado un grupo pero lo puede ver otro). En el campo Tags, escribe una etiqueta. Para cambiar el icono pulsa Choose en el campo Icon. Si necesitas almacenar una clave ssh, puedes pulsar el botón Examinar para subirlo al servidor. Lo mismo ocurre si quieres adjuntar un archivo. Cuando tengas todos los campos rellenados tan solo debes pulsar Submit para guardar los cambios.

Guardar contraseña

Como funcionan los permisos:

Esta aplicación es muy simple y los permisos básicamente se basan en la pertenencia a grupos, es decir; en mi ejemplo, he creado la siguiente estructura de grupos y usuarios:

entornoHe almacenado dos credenciales, en los dos casos,  el grupo propietario es sputniklab y en uno de los dos, el grupo helpdesk además tiene permisos de lectura:

credenciales_detalle

Esto se traduce en que si inicio sesión con el usuario1, este tendrá derecho a ver todas las credenciales y adicionalmente a crear nuevas, eliminar las existentes y a moverlas de lugar, mientras el usuario2 no podrá modificar esa credencial de root ya que sólo tiene permisos de lectura. Sin embargo podrá crear otros usuarios dentro de su grupo.

usuario1

usuario2

Conclusiones:

Es una aplicación muy simple que puede servir en entornos muy pequeños, pero no la veo muy práctica para entornos corporativos donde se necesita poder delimitar los permisos de los distintos usuarios.

Ventajas:

  • Es OpenSource.
  • Sirve para compartir contraseñas a un nivel muy básico.
  • Se puede importar credenciales desde keepass.
  • Se pueden exportar credenciales a keepass.
  • Se puede consultar el histórico de cambios.

Desventajas:

  • Hay que cifrar todo el disco o parte de él, lo que perjudica en el rendimiento del equipo.
  • El campo URL es obligatorio y no siempre se usa (ejemplo: credenciales de Windows Server).
  • Los permisos se basan en grupos asignados a cada credencial que se quiere guardar. En entornos grandes esto no es muy práctico. Es mucho mejor basarlo en carpetas.
  • No se pueden asignar roles a los diferentes usuarios. Todos los usuarios de un grupo tiene los máximos derechos de ese grupo.
  • El orden visual para reconocer credenciales me resulta confuso si tienes más de una credencial con el mismo nombre de usuario como en el caso de root o administrator.

En fin amigos, esto es todo por hoy. Espero haberos ayudado en la búsqueda de un gestor de contraseñas centralizado. En próximos artículos, seguiré analizando otros gestores.

¡¡Hasta el próximo artículo!!

escrito por Javier Peral