那些遇到过的问题

任何傀儡代理都可以从主人那里得到任何傀儡文件吗?

Ant*_*des 8 puppet puppetmaster

我的 Puppet master 包含一些敏感文件。我希望每个傀儡代理只能访问那些特定代理感兴趣的文件。换句话说:

  • puppet 代理是否运行它的目录,然后,当它遇到“文件”或“模板”函数或“源 => 'puppet:///...'”参数时,要求 master 为其提供指定的文件,而主人只是提供它而不检查?这会很糟糕。如果代理受到威胁,它可以向主服务器询问主服务器上的任何文件,甚至是仅用于其他代理的文件。
  • 或者主人是否以某种方式检查代理的目录是否真的授权该特定代理获取该特定文件?

我不知道这是否重要,但我正在运行乘客(并且我的所有代理和主机都是 2.7.6 来自挤压反向端口)。

小智 -1

只要该文件仅在一个“节点”中定义,就应该没问题,另一个“节点”无法请求该文件,因为对他来说,该文件不存在。

但是,将“受保护”文件存储在 Puppet 服务器上通常不是一个好主意。

希望这可以帮助!

  • -1; 通过正确的协议操作,节点不会尝试查找未为其定义的任何内容。实际上,如果我有有效的证书并且“/etc/puppet/auth.conf”中的默认权限尚未更改,我可以要求任何内容。 (2认同)

归档时间:

查看次数:

2316 次

最近记录:

11 年,5 月 前
相关归档
使用 puppet 在 /etc/profile 中添加行? 16
使用 Docker/Ansible 的不可变服务器模型 vs. AWS 中的 Ansible、Puppet 和 Foreman? 9
如何使用 Puppet 或 Cfengine 设置 Cobbler? 8
使用 Puppet 部署 Python 代码 6
执行 puppet agent -t 时如何不显示_diff? 5
puppet fileserver 提供非模块文件 5
覆盖先前声明的 Puppet 资源中的参数 5
木偶:在覆盖文件之前停止服务 5
资源有限的独立服务器的傀儡或厨师 1
自动接受 Puppet Master 的所有证书 1
难疑归档
使用 CLI 工具显示远程 SSL 证书详细信息 321
IPv4 地址耗尽到底有多严重? 167
在没有窗口的计划任务中运行 .bat 文件 158
之间的差异和缺点/优势:Fast-CGI、CGI、Mod-PHP、SuPHP、PHP-FPM 96
如何区分 IPv6 URL 中的主机和端口? 94
如何在没有 ifconfig 的情况下获取 TX/RX 字节? 80
SSH 允许一个用户使用密码,仅允许使用公钥 69
如何从我的桌面通过远程服务器上的 ssh 命令启动屏幕会话? 63
负 DNS 缓存通常持续多长时间? 62
SQL Server 标准版和网络版有什么区别? 54