Ansible en una imagen de nube

Navega tus respuestas
0

Estoy estudiando el uso de Ansible para administrar mis sistemas y revisando su documentación, encontré una recomendación para ejecutar los comandos de Ansible en una imagen de nube en lugar de mi computadora portátil local.

Entiendo que Ansible básicamente actúa como un usuario de SSH para los sistemas que administra. Entonces, ¿esta recomendación no significaría que estaría almacenando claves autorizadas para todos mis sistemas (con usuarios habilitados con sudo) en una sola imagen de nube?

En otras palabras, si la imagen de la nube está comprometida alguna vez, estoy realmente atornillado.

¿Es esta una evaluación de riesgos correcta o no estoy entendiendo algo?

    
pregunta AlanObject 19.07.2018 - 20:11
fuente

2 respuestas

1

Dejando a un lado la nube, si Ansible se ve comprometido, entonces expone todos los servidores que administra.

La pregunta se convierte en: la mejor manera de mitigar ese riesgo.

Si usa su computadora portátil, entonces cualquier cosa que haga en la computadora portátil potencialmente expone Ansible. Navegar, instalar, etc. Una imagen dedicada y bloqueada que no se utiliza para la actividad personal es mejor, en lo que respecta a eso .

Ansible pone todos tus huevos en una canasta y luego, para citar a Andrew Carnegie, "¡mira esa canasta!"

    
respondido por el schroeder 19.07.2018 - 20:50
fuente
1

Ayuda a implementar las claves públicas autorizadas en sus sistemas administrados por Ansible con el parámetro "from=" con un pequeño conjunto de servidores Ansible por nodo administrado (dos o tres serían ideales; desea más de uno para redundancia, pero lanzar una red demasiado amplia aquí derrota el propósito). Desafortunadamente, no se puede limitar con el parámetro "command=" porque Ansible crea nombres arbitrarios para los comandos que ejecuta para ejecutar los libros de jugadas.

Más allá de eso, es prácticamente una cuestión de aplicar principios generales de fortalecimiento a los servidores Ansible para proteger las claves.

    
respondido por el Mike McManus 19.07.2018 - 21:46
fuente

Lea otras preguntas en las etiquetas

archivos de clave perdidos para archivos encriptados [cerrado] se puede usar un token para inyección de sql