¿Por qué las herramientas de administración de configuración de software (SCM) autentican solo al cliente en lugar del servidor?

Navega tus respuestas
0

He observado que probablemente todas las 4 Herramientas de administración de configuración de software (SCM) del software , es decir. / p>

  1. Títere ,
  2. Ansible ,
  3. Chef ,
  4. Salt

utilice solo la autenticación de los clientes en lugar de la autenticación del servidor; corríjame si estoy equivocado (sospecho que estoy equivocado, pero no sé por qué).

¿Por qué? ¿No es peligroso confiar en el servidor que, de hecho, administra casi todos los detalles de la configuración del sistema de los clientes?

Aquí es una descripción de cómo Puppet se proporciona la autenticación. ¿No es posible que un atacante ejecute el ataque MITM simulando ser Puppet server ? ¿La autenticación de los clientes por el servidor de alguna manera proporciona autenticación mutua?

    
pregunta patryk.beza 17.09.2017 - 14:47
fuente

2 respuestas

1
  

Aquí hay una descripción de cómo se proporciona la autenticación de Puppet.

El enlace que proporciona dice claramente:

  

La comunicación entre el maestro y los agentes se otorga y se protege con HTTPS verificado por el cliente, que requiere la identificación válida de los certificados SSL.

Dado que algún tipo de autenticación del servidor siempre se realiza con HTTPS, esto solo significa que la autenticación del cliente se realiza además de la autenticación del servidor y no solo se realiza la autenticación del cliente.

    
respondido por el Steffen Ullrich 17.09.2017 - 16:47
fuente
0

Respuesta parcial:

Uso Ansible con autenticación de clave SSH. Yo diría que incluye una autenticación de servidor en el sentido de que el servidor Ansible debe probar cada vez que tiene la clave privada para una autenticación de clave SSH. Lo mismo es válido, incluso con autenticación de contraseña.

Entonces, en este caso, la pregunta se reduce a "¿sería posible un ataque MITM al iniciar una sesión SSH?" La única disposición de AFAIK es verificar la verificación de HostKey, que es manual la primera vez, y después automática. Creo que este aspecto ha sido discutido antes. por ejemplo, Cómo asegurar correctamente una sesión ssh contra ¿Ataque MITM?

    
respondido por el Sas3 17.09.2017 - 15:27
fuente

Lea otras preguntas en las etiquetas

¿Una cadena completamente aleatoria produce un hash completamente aleatorio? ¿Esta actividad de Google Android Note4 parece legítima? [cerrado]