gpt4 book ai didi

salt-stack - 为什么 Salt top 文件不应该使用grain 来匹配敏感的支柱?

转载 作者:行者123 更新时间:2023-12-02 09:35:01 25 4
gpt4 key购买 nike

The Salt documentation says:

Don't use grains for matching in your pillar top file for any sensitive pillars.

但它没有进一步详细说明,留下了一些悬而未决的问题:

  1. 第一:为什么不呢?我认为这是因为 Cereal 是由小兵提供的,因此受损的小兵可能会对其任何 Cereal 撒谎,以获得它不应该拥有的任何支柱数据,但我只是要求明确说明这一点。 p>

  2. 最重要的是:支柱顶部文件应该使用什么来进行匹配?为什么其他匹配器不会遇到与 Grains 相同的安全问题?例如,minion不也提供自己的ID吗?

最佳答案

这是因为grains可以在minion的/etc/salt/grains文件中任意设置。

除其他事项外,支柱是存储敏感数据的地方,这些数据应该是每个 Minion 私有(private)的。

考虑 VPN key :随机的 Minion 不应该能够下载 openvpn 服务器的 CA 和证书,并且每个 Minion 也不应该访问彼此的证书。

当您按 Minion 定位时,您将通过附加到该 Minion ID 的 RSA key 进行定位。这不能通过重命名随机 Minion 上的 Minion id 来欺骗。

关于salt-stack - 为什么 Salt top 文件不应该使用grain 来匹配敏感的支柱?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27302898/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com