শেফ: এনক্রিপ্ট করা কী সংরক্ষণ করে ডেটা ব্যাগ, এনক্রিপ্ট করা

8

আপনি যখন শেফের জন্য এনক্রিপ্টড ডেটা ব্যাগ বৈশিষ্ট্যটি ব্যবহার করছেন আপনি কীভাবে অনেক সার্ভারে কীটি স্থাপন করবেন? আপনি যদি এটিকে কোনও রেসিপিটিতে রেখে দেন তবে যে কোনও শেফ সার্ভার বা ক্লায়েন্টের যে কোনও অ্যাক্সেস রয়েছে সে কীটি টানতে পারে এবং কোনও ডেটাব্যাগগুলি সম্ভাব্যভাবে ডিক্রিপ্ট করতে পারে।

আপনি কীগুলি যে মেশিনগুলির প্রয়োজন সেগুলিতে রয়েছে তা নিশ্চিত করার পাশাপাশি আপনি যে কেউ আশেপাশে স্নোপিং করছেন সেগুলি থেকে কীভাবে সুরক্ষা পাবেন?

chef 
কাইলি
সূত্র

উত্তর:

8

দুর্ভাগ্যক্রমে প্লে-টেক্সটে শেফ নোডের মূল জায়গাটি যে কোনও জায়গায় থাকা দরকার হিসাবে আপনি আসলে কিছুই করতে পারেন না। কারও কাছে যদি বাক্সে শেল বা স্থানীয় অ্যাক্সেস থাকে তবে তাদের পক্ষে কী (গুলি) পড়া সম্ভব হবে।

জিনিসগুলিকে কিছুটা প্রশমিত করার জন্য আমি নীচে আমার বেসনোডে যুক্ত করি (অর্থাত্ এমন কিছু রেসিপি বা ভূমিকা যা সমস্ত নোডের জন্য সাধারণ):

directory "/etc/chef/keys" do
  mode 0700
  owner "root"
  group "root"
end

এবং যে কী কী বিতরণ প্রক্রিয়া আপনার কাছে সেই জায়গায় কী রাখে। অনুমতিগুলি এবং মালিকানা কীগুলি পড়তে বাধা দেয় যদি কেউ কোনও মূল ফাইলটিতে সঠিক অনুমতিগুলি রাখতে ভুলে যায়।

আমি দেখতে পাচ্ছি এনক্রিপ্ট করা ডেটা ব্যাগগুলি সোর্স কন্ট্রোল সিস্টেমে মূল উপাদানটি পঠনযোগ্য থেকে রক্ষা করার জন্য এবং শেফ নোডগুলিতে সুরক্ষা বৈশিষ্ট্য হিসাবে কম।

টিম পটার
সূত্র
3

আমার ইডিবিগুলি এর দ্বারা পৃথক করা হয়েছে:

  • পরিবেশ
  • ভূমিকা

আমরা বুটস্ট্র্যাপ করার সাথে সাথে প্রতিটি নতুন ইসি 2 উদাহরণে একটি বিশেষ প্রত্যয় সহ সমস্ত কীগুলি আপলোড করি এবং তারপরে রান-তালিকার কোনও রেসিপি দ্বারা ব্যবহৃত হয়নি এমন সমস্ত কীগুলি প্রথম বারের শেফ-ক্লায়েন্টের রান শেষে (যা হবে উদাহরণটি শুরু হওয়ার সাথে সাথেই।)

সমস্ত ফাইল মালিক এবং গোষ্ঠী "রুট" হিসাবে এবং কেবল পঠনের অনুমতি সহ আপলোড করা হয়।

প্রতিটি রেসিপি যা একটি EDB ব্যবহার করে, EDB নাম এবং কী ফাইলের নাম রেসিপি রান টাইমে 'edb_' + নোড এনভায়রনমেন্ট + রেসিপি / আইটেম-নির্দিষ্ট নাম + '.key' দিয়ে তৈরি করে এবং তারপরে এই নামের কীটি সন্ধান করে । (যদি এটি বিদ্যমান না থাকে তবে এটি ডিফল্টরূপে একটি ব্যতিক্রম ছুঁড়ে)

সুতরাং, আমাদের কাউচডিবি সার্ভারের জন্য, 'পালঙ্ক' নামে একটি ভূমিকা পালন করা, আমরা দেব পরিবেশে অ্যাডমিন ব্যবহারকারীদের জন্য ব্যবহারযোগ্য শংসাপত্রগুলি পাওয়ার জন্য, রেসিপিটি 'edb_dev_couch.key' নামের একটি কী অনুসন্ধান করে looks

এরপরে এটি 'পালঙ্ক_সংশ্লিষ্টতা' নামের আইটেমটির জন্য 'এডিবি_দেব' নামে একটি ডেটা ব্যাগ অনুসন্ধান করে।

কী পরিচালনার জন্য, আমি বর্তমানে এর সহজ পদ্ধতির ব্যবহার করছি:

  • বুটস্ট্র্যাপ স্ক্রিপ্টের মাধ্যমে সমস্ত EDB কীগুলি আপলোড করুন এবং মূল নামগুলিতে '_x' যুক্ত করুন
  • প্রতিটি কী রেসিপি রয়েছে যা কী প্রয়োজন তার কীগুলির ডিরেক্টরিতে EDB চেহারা ব্যবহার করে।
  • যদি '_x' প্রত্যয় সহ কীটি উপস্থিত থাকে তবে '_x' প্রত্যয়টি সরিয়ে ফেলতে কীটির পুনরায় নামকরণ করুন।
  • প্রতিটি রান_লিস্টের শেষে একটি রেসিপি যুক্ত করুন যা '_x' প্রত্যয় সহ সমস্ত কী মুছে দেয়

আশা করা যায়, এটি মেশিনটি বুটস্ট্র্যাপ না করা এবং শেফ_ক্লিয়েন্টের প্রথম চালনা না হওয়া পর্যন্ত একক নোডের স্কোপের বাইরে থাকা কীগুলি সংবেদনশীল are

কীগুলি কীভাবে সুরক্ষিত করা যায় এটি পরীক্ষার এটি আমাদের প্রথম দফায়, তবে এখনও পর্যন্ত এটি আমাদের বর্তমান চাহিদা পূরণ করে কারণ এটি একটি রুটড ডেভ সার্ভারকে তাত্ক্ষণিকভাবে কোনও ইডিবিতে সঞ্চিত অন্য কোনও সার্ভার শংসাপত্রগুলি অ্যাক্সেস করতে সক্ষম হতে বাধা দেয়।

প্রতিটি রান তালিকার শেষে একটি রেসিপি বজায় রাখার জন্য, আমি একটি ছুরি চালানোর কাজ ব্যবহার করি যা নিশ্চিত করে যে এই মুছুন_কিসের রেসিপিটি প্রতিটি নোডের ঠিক শেষ রেসিপি।

jLi
সূত্র
0

আমার কীগুলি যে এএমআই ব্যবহার করা হয় সেগুলিতে বা আমরা ব্যবহার করি এমন চিত্রগুলিতে বেকড। ডেটা সুরক্ষিত না হওয়ায় আমি এটি বুটস্ট্র্যাপের অংশ হিসাবে করি না। আপনি সচেতন না হলে আপনি সাধারণত লগগুলিতে এবং এ জাতীয় ডেটা দেখতে পারেন।

ডেভি জোন্স
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.