Hashicorp Vault for Linux 等密码管理器的密码似乎存在一些“鸡与蛋”问题。
在针对某些 Linux 服务器进行研究时,有人聪明地问道: “如果我们将所有机密存储在机密存储服务中,那么我们将对该机密存储服务的访问机密存储在哪里?在我们的机密存储服务中?” ‡
我大吃一惊,因为如果我无论如何要存储机密的所有 Linux 服务器都有其访问令牌,那么使用单独的机密存储服务就没有意义了。
例如,如果我将我的机密移动到 Vault,我是否仍然需要将机密存储在 Linux 服务器上的某个位置以访问 Hashicorp Vault?
有人谈论以一些创造性的方式解决这个问题,至少让事情比现在更好。我们可以做一些聪明的事情,比如基于 CIDR 或密码混搭的身份验证。但是仍然存在安全性的权衡。例如,如果黑客获得了对我的机器的访问权限,如果访问是基于 CIDR 的,他们就可以进入保险库。
这个问题可能没有答案,在这种情况下,答案是“不,这没有普遍接受的灵丹妙药解决方案,发挥创意,找到你的权衡 bla bla bla”
我想回答以下具体问题:
是否有一种普遍接受的方式来保护现代 Linux 服务器上像 Hashicorp Vault 这样的远程自动化机密存储的密码?
显然,明文是不可能的。
对此有规范的答案吗?我什至在正确的地方问这个吗?我也考虑过 security.stackexchange.com,但这似乎特定于一种为 Linux 服务器存储机密的方式。我知道这可能看起来过于笼统或基于意见,因此我欢迎您提出任何可能必须避免这种情况的编辑建议。
‡我们笑了,但我在这里得到的答案很可能是“在保险库中”。:/ 例如,一个 Jenkins 服务器或其他东西有一个 6 个月的可撤销密码,它用来生成一次性使用的令牌,然后他们可以使用这些令牌来获取从 Vault 生成的自己的小临时(会话受限)密码,这为他们提供了一段信息。
像这样的事情似乎是一样的,尽管它只是解决方案的一部分:使用 Puppet 管理服务密码
automation linux authentication password-management keystore
假设我有一个我想运行的快速网络分区测试,例如将 ReDiS 集群的两半彼此断开连接,并且我想使用 IPTables 暂时断开一组服务器与另一组服务器的连接。
这与在 Fedora 邮件列表中提出的问题非常相似:
https://www.redhat.com/archives/rhl-list/2006-January/msg03380.html
如果我EXISTING,RELATED在 的输出中没有看到iptables --list,我是否需要担心这个?
Fedora 邮件列表上的以下答案似乎说是的,如果我EXISTING,RELATED在iptables --list.
https://www.redhat.com/archives/rhl-list/2006-January/msg03396.html
对自反标记者的说明,在那里:这个问题,更重要的是,它的答案,将讨论 IPTables 是否在更新其规则时丢弃现有连接。
据我所知,本网站上关于此主题的其他问题并未解决现有连接和尝试连接之间的差异:
如何关闭除通过 IPTABLES 列出的所有网络的某些 TCP/UDP 端口(传入)
我在以下 URL 链接的页面上通过 Google 搜索找到了我的大部分研究结果:
https://duckduckgo.com/?q=iptables+close+existing+connections
