那些遇到过的问题

为什么盐顶文件不应该使用谷物来匹配敏感的支柱?

Chr*_*tin 2 salt-stack

Salt文档说:

不要在柱顶文件中使用颗粒匹配任何敏感支柱.

但它没有进一步阐述,留下一些悬而未决的问题:

  1. 第一:为什么不呢?我认为这是因为谷物是由仆从提供的,所以一个受损的仆从可以躺在它的任何谷物上以获得它不应该有的任何支柱数据,但我只是要求明确它.

  2. 最重要的是:支柱顶级文件应该用于匹配?为什么其他匹配器不会遇到与谷物相同的安全问题?例如,仆从也不提供自己的ID吗?

Dan*_*ite 5

这是因为谷物可以在minion的/ etc/salt/grain文件中的minions上任意设置.

除此之外,支柱是存储敏感数据的地方,这些数据应该对每个小兵都是私有的.

考虑VPN密钥:随机小兵不应该能够下载openvpn服务器的CA和证书,并且每个小兵都不应该访问彼此的证书.

当你以minion为目标时,你的目标是附加在该minion id上的RSA密钥.这不能通过在随机的minion上重命名minion id来欺骗.

归档时间:

查看次数:

391 次

最近记录:

11 年 前
相关归档
删除Jinja2变量定义留下的空行 28
使用SaltStack设置环境 11
Salt-stack列出所有可用状态 10
配置Salt API - Java 8
如何为特定环境运行state.highstate? 5
如何更改所有权,或chown -R用户:用户与saltstack等效? 5
为什么盐顶文件不应该使用谷物来匹配敏感的支柱? 2
Salt无法使用管道或重定向执行命令 2
Salt:将文本文件转换为变量,并使用状态文件中的相同变量来查找和替换 2
SLS 中的 ID 不是字典 1
难疑归档
如何在Web表单字段/输入标记上禁用浏览器自动完成? 2680
如何在Python中连接两个列表? 2250
如果目录尚不存在,如何mkdir? 1784
在GitHub上将图像添加到README.md 1675
喜欢构成而不是继承? 1538
从Git提交中删除文件 1484
为什么在重写Equals方法时重写GetHashCode很重要? 1371
如何通过curl调用使用HTTP请求发送标头? 1328
如何撤消"git commit --amend"而不是"git commit" 1198
Python类继承对象 1095