Я работаю в компании, и многие сотрудники имеют доступ к нашему серверу sensu. В файле /etc/sensu/conf.d у нас есть файлы json, содержащие команды для запуска наших проверок. однако некоторые из этих команд содержат конфиденциальную информацию, которую я не хочу, чтобы другие пользователи могли видеть. как лучше всего скрыть информацию в командах?
Скрытие информации о чувстве от команд
comment
Могут ли они получить доступ к папкам как пользователь root или sensu? В противном случае нужно просто изменить разрешение на папку sensu, чтобы только sensu (и root) могли открывать и читать ее. (У вас уже должно быть настроено это, если у вас есть какие-либо проблемы с безопасностью в вашей компании)
- person Kobbe schedule 03.05.2016
Ответы (2)
Если люди имеют доступ только к вашему серверу sensu, а не к клиентам, вы можете передать пароли в качестве пользовательского параметра клиента. Таким образом, они будут храниться в файле конфигурации клиента на клиенте и не будут видны на сервере.
person
Rick Rackow
schedule
21.05.2016
Я могу придумать 3 решения:
Вам нужно будет добавить секретное управление к вашим проверкам. Обычно это включает в себя настройку программного обеспечения для управления секретами, такого как Vault, для управления доступом к секретам через API. Это хранит все секреты от серверов.
Еще одна практика, которую мы использовали, — это зашифрованные пакеты данных Chef. Это перенесет ваши секреты на сервер, но они более безопасны, чем контроль версий.
Самое простое решение — просто заблокировать каталоги на сервере и сохранить их в виде простого текста.
person
Ken Brittain
schedule
10.05.2016
