Dev*_*vin 2 configuration-management saltstack
我有一组系统(在 AWS 中),它们都需要无密码的 SSH 访问。我已经编写了一个 Salt 状态,它复制了一个密钥对(我之前生成的公共/私有 SSH-RSA 密钥)并将适当的条目添加到用户的 authorized_keys 文件中。
现在,我将公钥和私钥存储为 Salt 状态中的文件,并在我的状态定义中获取它们。但是,我在salt.states.file.managed() 文档中注意到他们提供了一个示例,将私钥存储在 Pillar 中,然后用于contents_pillar获取私钥的内容。
是否有理由将我的私人(甚至公共)密钥内容存储在 Pillar 中,而不仅仅是州目录中的文件?我不确定将它放在那里是否有安全优势,因为无论如何内容最终都会出现在每个系统上。我已经将 Pillar 用于其他一些用途,但不确定是否有很好的案例可以在这里使用它。
所有状态都可以从所有 minion 读取,因此登录到您的任何 minion 的人(具有适当权限)可以读取您存储在状态中的私钥。
支柱数据可以限制到相关的minions。这是您存储对一个或仅某些随从保密的任何内容的地方。
您应该阅读支柱文档页面:http : //docs.saltstack.com/en/latest/topics/pillar/index.html
有这个注释:
存储敏感数据
与状态树不同,支柱数据仅适用于匹配器类型指定的目标 minion。这使得它对于存储特定于特定 minion 的敏感数据非常有用。
| 归档时间: |
|
| 查看次数: |
1075 次 |
| 最近记录: |