Ansible Vault密码文件
[英]Ansible vault password file
问题描述
我在想,因为我们已经有一个用于访问服务器的秘密文件(ssh私钥),因此使用此文件作为Vault的密钥文件会带来多少安全风险?
这样做的好处是,我们只需要保护ssh私钥,而不用为保管库拥有另一个密钥即可。
1 个解决方案
解决方案1
1 2016-06-02 07:33:19
我喜欢您关于减少机密的想法,但是我担心使用可使用的私钥。
情境
理想情况下,您提到的私钥仅存在于管理计算机上,您可以从该计算机上运行剧本。 我的看法是,此密钥在其他机器/系统中分配的越多,就越有可能遭到破坏。 Ansible私钥通常使您可以访问系统中任何配置的计算机上的root用户,这使其成为非常有价值的秘密。 我从不为Ansible私钥提供Ansible本身(无论如何,至少在第一台管理机上,这都是种鸡蛋)。
问题
我看到这种方法的一个潜在问题是在本地(例如,无业游民)发展角色时。 您可能需要使用本地管理系统中的私钥来解密机密,并在无所事事的盒子上运行剧本。 另外,从事同一个ansible项目的其他任何开发人员都需要在本地使用该私钥进行开发。
潜在的解决方法
我的前提是私钥不会离开管理服务器。 为了实现这一目标,您可以以不需要本地解密的方式开发角色,例如,无需使用任何秘密解密,例如,为每个仅使用未加密伪造数据的生产组创建本地开发dev 。 这样,您只需要在管理计算机上解密机密信息,而不必在本地使用私钥,但这当然会导致您的ansible项目需要进行更多的开发工作。
我总是尽量尝试使用这种方法,但是有时您会发现自己仍然需要为流浪者盒子解密一些有效的api密钥。 在某些项目中,您可能不仅希望将ansible剧本用于生产服务器,还希望在本地为开发人员配置无用的盒子,这通常是在您需要解密一定数量的有效机密时使用的。
还值得一提的是,使用这种方法只能使用私钥直接在管理服务器上对生产机密进行更改。
结论
总而言之,我认为虽然在理论上可以将私钥用作保管库密码,但是与增加安全性所带来的开销相比,减少一个机密的好处太小了。
如何将ansible_become_pass存储在保管库中以及如何使用它?
[英]How to store ansible_become_pass in a vault and how to use it?
Spring Data从文件库或其他受保护的源读取MongoDB密码
[英]Spring Data read MongoDB password from a vault or other protected source
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.