Ansible Vault密碼文件
[英]Ansible vault password file
問題描述
我在想,因為我們已經有一個用於訪問服務器的秘密文件(ssh私鑰),因此使用此文件作為Vault的密鑰文件會帶來多少安全風險?
這樣做的好處是,我們只需要保護ssh私鑰,而不用為保管庫擁有另一個密鑰即可。
1 個解決方案
解決方案1
1 2016-06-02 07:33:19
我喜歡您關於減少機密的想法,但是我擔心使用可使用的私鑰。
情境
理想情況下,您提到的私鑰僅存在於管理計算機上,您可以從該計算機上運行劇本。 我的看法是,此密鑰在其他機器/系統中分配的越多,就越有可能遭到破壞。 Ansible私鑰通常使您可以訪問系統中任何配置的計算機上的root用戶,這使其成為非常有價值的秘密。 我從不為Ansible私鑰提供Ansible本身(無論如何,至少在第一台管理機上,這都是種雞蛋)。
問題
我看到這種方法的一個潛在問題是在本地(例如,無業游民)發展角色時。 您可能需要使用本地管理系統中的私鑰來解密機密,並在無所事事的盒子上運行劇本。 另外,從事同一個ansible項目的其他任何開發人員都需要在本地使用該私鑰進行開發。
潛在的解決方法
我的前提是私鑰不會離開管理服務器。 為了實現這一目標,您可以以不需要本地解密的方式開發角色,例如,無需使用任何秘密解密,例如,為每個僅使用未加密偽造數據的生產組創建本地開發dev 。 這樣,您只需要在管理計算機上解密機密信息,而不必在本地使用私鑰,但這當然會導致您的ansible項目需要進行更多的開發工作。
我總是盡量嘗試使用這種方法,但是有時您會發現自己仍然需要為流浪者盒子解密一些有效的api密鑰。 在某些項目中,您可能不僅希望將ansible劇本用於生產服務器,還希望在本地為開發人員配置無用的盒子,這通常是在您需要解密一定數量的有效機密時使用的。
還值得一提的是,使用這種方法只能使用私鑰直接在管理服務器上對生產機密進行更改。
結論
總而言之,我認為雖然在理論上可以將私鑰用作保管庫密碼,但是與增加安全性所帶來的開銷相比,減少一個機密的好處太小了。
如何將ansible_become_pass存儲在保管庫中以及如何使用它?
[英]How to store ansible_become_pass in a vault and how to use it?
Spring Data從文件庫或其他受保護的源讀取MongoDB密碼
[英]Spring Data read MongoDB password from a vault or other protected source
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.