Как избежать доступа пользователей к поваренным книгам Chef в каталоге кеша узла

У нас возникла ситуация, в которой нам нужно избегать доступа пользователей к кулинарным книгам Chef в каталоге кеша узла. как лучше всего справиться с этим?

  • Можем ли мы удалить поваренную книгу из пути кеша в конце выполнения поваренной книги?
  • Можно ли зашифровать/расшифровать поваренную книгу при выполнении клиента Chef?

Ожидаются экспертные предложения для обработки сценария.


caching convergence chef-infra cookbook chef-recipe
person Saravanan G    schedule 12.11.2015    source источник
comment
Вы не думали о том, чтобы перенести свои секреты за пределы кулинарных книг? Или изменить права доступа к каталогу кеша? Кроме того, ознакомьтесь с комментариями к этому старому тикету: tickets.opscode.com/browse/CHEF-4512.   -  person Martin    schedule 12.11.2015
comment
Спасибо @Мартин. В случае пользователей без прав администратора мы можем ограничить разрешения. Но шеф-клиент запускается с правами администратора, поэтому любой, кто является администратором в виртуальной машине, может иметь доступ к пути кэша кулинарной книги. Так что есть шанс, что поваренная книга будет распространяться без нашего разрешения. Это цель этого поста. Кстати, билет, который вы разместили, не вписывается в наш сценарий.   -  person Saravanan G    schedule 12.11.2015
comment
У вас есть такие хорошо написанные поваренные книги, которые нужно защищать? Я предполагаю, что обработчик отчетов может очистить кеш за счет повторной загрузки всех кулинарных книг при каждом запуске.   -  person Tensibai    schedule 12.11.2015
comment
@SaravananG - чтобы было ясно, любой с правами администратора может использовать ключ клиента шеф-повара из /etc/chef и получать кулинарные книги непосредственно с сервера. Удаление поваренных книг не повысит безопасность против тех, кто уже является пользователем root или другим пользователем с правами администратора.   -  person Martin    schedule 12.11.2015
comment
Спасибо Тенсибай и Мартину. Я попытаюсь реализовать очистку кеша поваренной книги в конце выполнения.   -  person Saravanan G    schedule 12.11.2015
comment
Я бы повторил и поддержал совет @Martin не хранить секреты в своей кулинарной книге. Лучший способ сохранить секрет в безопасности — не хранить его. Chef предлагает альтернативы для хранения конфиденциальных данных, от зашифрованных пакетов данных до более функционального решения Chef Vault. (Хранилище является частью Chefdk)   -  person Mark O'Connor    schedule 12.11.2015
comment
Обязательно приму предложения.   -  person Saravanan G    schedule 12.11.2015

Ответы (1)


arrow_upward
1
arrow_downward

Нет, в настоящее время для этого нет обработки. Тем не менее, все файлы в кеше должны быть доступны для чтения только пользователю root, если это не так, сообщите об этом как об ошибке в самом проекте Chef. Учитывая, что пользователь root всегда может получить доступ к ключу клиента и, таким образом, может получить данные поваренной книги непосредственно с сервера, контроль доступа к кешу ничем не поможет.

person coderanger    schedule 14.11.2015
comment
Ответ не решает цель моего запроса. Ответ обсуждался в разделе комментариев выше. - person Saravanan G; 19.11.2015
comment
Coderanger Как вы предложили, добавил проблему в Chef github github.com/chef/chef/issues/4191 - person Saravanan G; 20.11.2015
comment
Я сказал открыть тикет, если есть ошибка в правах доступа к файлам кеша, а не потому, что вам не нравится ответ. - person coderanger; 20.11.2015
comment
Принял ваш ответ..! - person Saravanan G; 20.11.2015