পুতুল সুরক্ষা এবং নেটওয়ার্ক টোপোলজিস

পটভূমি:

আমি অবশেষে একবিংশ শতাব্দীতে যোগ দিতে এবং পুতুলের দিকে তাকানোর জন্য কিছু সময় রেখেছি।

এটি আজ যেমন দাঁড়িয়েছে আমরা অফিসে অভ্যন্তরীণভাবে অনুষ্ঠিত একটি সংগ্রহস্থলের সমস্ত সার্ভার কনফিগারেশনগুলিকে সংস্করণ নিয়ন্ত্রণ করি। যখন কোনও আপডেট করার প্রয়োজন হয়, পরিবর্তনগুলি পুনরায় পরীক্ষাগারে পরীক্ষা করা হয় এবং ম্যানুয়ালি মেশিনে প্রশ্নবিদ্ধভাবে বের করে দেওয়া হয়। এর অর্থ সাধারণত শেল থেকে প্রাসঙ্গিক অনুমতি নিয়ে দূরবর্তী মেশিনে SFTP'E করা এবং তারপরে ফাইলগুলি জায়গায় স্থানান্তরিত করা হয়।

সুতরাং আমি আশাবাদী যে পুতুল আমাদের কাছে ইতিমধ্যে যা আছে তার একটি সহজ তবে আশ্চর্যজনক এক্সটেনশন হতে চলেছে।

এখন আমি প্রক্রিয়াটি বিবেচনা করি যা আমাদের বর্তমানে যুক্তিসঙ্গতভাবে সুরক্ষিত থাকতে হবে। এই অনুমানের ভিত্তিতে যে আমাদের অভ্যন্তরীণ নেটওয়ার্কগুলি সর্বদা আমাদের ডেটাসেন্ট্রেসের পাবলিক নেটওয়ার্কগুলির তুলনায় তুলনামূলকভাবে বেশি সুরক্ষিত থাকবে।

• প্রক্রিয়া সর্বদা এক উপায়। সুরক্ষিত পরিবেশ থেকে অনিরাপদ এবং অন্য পথে কখনও নয় to

• মাস্টার স্টোরটি সবচেয়ে নিরাপদ জায়গায়। কনফিগারেশন চুরি করে বা দূষিত পরিবর্তনগুলি পাঠিয়ে সমঝোতার ঝুঁকি অনেকাংশে হ্রাস পেয়েছে।

প্রশ্ন:

পুতুল সার্ভার / ক্লায়েন্টের মডেলটি আমি যা বুঝতে পারি তা থেকে ক্লায়েন্টরা পোলিং করে এবং সার্ভার থেকে সরাসরি আপডেটগুলি টান দেয়। ট্র্যাফিকটি এসএসএল মোড়ানো তাই এতে বাধা বা স্পোফ করা যায় না। তবে বর্তমানে আমরা যা করি তা তার থেকে পৃথক হয় কারণ পুতুল সার্ভার [গুলি] সর্বজনীন স্থানে হোস্ট করা দরকার। হয় কেন্দ্রীয়ভাবে, বা প্রতিটি ডেটাসেন্ট্রি সাইটের জন্য একটি যা আমরা রক্ষণ করি।

তাই আমি ভাবছি:

• আমি কি ধাক্কা থেকে টানা পরিবর্তন সম্পর্কে অযৌক্তিকভাবে অজ্ঞান হয়ে যাচ্ছি?

• আমি কি এই সমস্ত তথ্য কোনও সরকারী নেটওয়ার্কে কেন্দ্রীয়ভাবে সংরক্ষণ করার বিষয়ে অযৌক্তিকভাবে ভ্রান্ত হই?

• অন্যরা কীভাবে একাধিক নেটওয়ার্ক পরিচালনা করছেন - প্রতিটি সাইটের জন্য পৃথক সার্ভার?

আপডেট 30/07/09:

আমি অনুমান করি যে আমার অন্য বড় উদ্বেগগুলির মধ্যে একটি হ'ল তাই একক মেশিনে বিশ্বাস রাখতে হবে। পুতুলক্ষেত্র (গুলি) ফায়ারওয়াল্ড, সুরক্ষিত এবং এরকম হবে। তবুও শোনার পরিষেবা সহ যে কোনও পাবলিক মেশিনের একটি নির্দিষ্ট আকারের আক্রমণ পৃষ্ঠ রয়েছে।

সম্ভবত যদি পুতুলের কোনও ক্লায়েন্টের যে কোনও ফাইলের উপর যদি মাস্টারটির কোনও ফাইল আপডেট করার অনুমতি থাকে, তবে এটির আপসটি শেষ পর্যন্ত তার সমস্ত ক্লায়েন্টদের সাথে আপস করে। "রাজ্যের রাজারা" তাই কথা বলতে।

• এটা কি হাইপোথিসিস সঠিক?

• এটিকে প্রশমিত করার কোনও উপায় আছে কি?

যেহেতু আমি মাঝেমধ্যে মডিউলগুলিতে পাসওয়ার্ডগুলি ভেরিয়েবলগুলিতে সঞ্চয় করি, ম্যানুয়ালি কনফিগারেশন শেষ না করেই অ্যাপ্লিকেশন স্থাপন করতে সক্ষম হওয়ার অর্থ, এর অর্থ হ'ল আমি আমার পাপেট রেপোটিকে সর্বজনীন সার্ভারে শালীনভাবে রাখতে পারি না। এটি করার অর্থ হ'ল পুতুলমাস্টার আক্রমণ করা আমাদের সমস্ত সার্ভারে আমাদের বিভিন্ন অ্যাপ্লিকেশনের কিছু অ্যাপ্লিকেশন বা ডিবি পাসওয়ার্ড পাওয়ার অনুমতি পাবে।

সুতরাং আমার পুতুলমাস্টার আমাদের অফিসের ব্যক্তিগত নেটওয়ার্কে আছেন এবং আমি সার্ভারগুলিতে পুতুল ডেমন চালাই না। যখন আমাকে মোতায়েন করা দরকার, আমি প্রাইভেট নেট থেকে সার্ভারগুলিতে এসএসএস ব্যবহার করি, একটি টানেল তৈরি করে এবং দূরবর্তীভাবে পুতুলকে কল করি।
কৌশলটি পুতুলমাস্টারের সাথে সংযোগ স্থাপনের জন্য দূরবর্তী টানেল এবং পুতুল ক্লায়েন্টকে সেট করা নয়, তবে এমন একটি প্রক্সি যা HTTP সংযোগ গ্রহণ করে এবং ব্যক্তিগত নেটওয়ার্কের পুতুলমাস্টার সার্ভারে পৌঁছতে পারে। অন্যথায় পুতুল শংসাপত্রগুলির সাথে হোস্টনাম বিরোধের কারণে টানতে অস্বীকার করবে

# From a machine inside privatenet.net :
ssh -R 3128:httpconnectproxy.privatenet.net:3128 \
    -t remoteclient.publicnetwork.net \
    sudo /usr/sbin/puppetd --server puppetmaster.privatenet.net \
    --http_proxy_host localhost --http_proxy_port 3128 \
    --waitforcert 60 --test –-verbose

এটি আমার পক্ষে কাজ করে, আশা করি এটি আপনাকে সহায়তা করবে

আমাদের দুটি সাইট আছে, আমাদের অফিস এবং আমাদের কলো। প্রতিটি সাইটের নিজস্ব পুতুলক্ষেত্র রয়েছে। আমরা নিম্নলিখিত কাঠামো সহ একটি এসএনএন সংগ্রহস্থল স্থাপন করেছি:

root/office
root/office/manifests/site.pp
root/office/modules
root/colo
root/colo/manifests/site.pp
root/colo/modules
root/modules

প্রতিটি সাইটের অধীনে মডিউল ডিরেক্টরি হ'ল একটি এসএনএন: এক্সটার্নাল ডিরেক্টরি শীর্ষ স্তরের মডিউল ডিরেক্টরিতে ফিরে। এর অর্থ হ'ল তারা একই মডিউলগুলির ডিরেক্টরিটি ভাগ করে দেয়। তারপরে আমরা নিশ্চিত করে নিই যে আমরা যে ক্লাসগুলি লিখি তার সিংহভাগ মডিউল ডিরেক্টরিতে এবং উভয় সাইটই ব্যবহার করে। আমাদের উদারভাবে চিন্তা করতে বাধ্য করা এবং কোনও নির্দিষ্ট সাইটের সাথে কোনও শ্রেণি বাঁধা না রাখার দুর্দান্ত সুবিধা রয়েছে।

সুরক্ষা হিসাবে, আমরা আমাদের ফায়ারওয়ালের পিছনে আমাদের পুতুলমাস্টার (এবং আমাদের নেটওয়ার্কের বাকী) হোস্ট করি, তাই কনফিগারটিকে কেন্দ্রীয়ভাবে সংরক্ষণ করার বিষয়ে আমরা উদ্বিগ্ন নই। পুতুলমাস্টার কেবল এটির আস্থা হোস্টে কনফিগারেশন প্রেরণ করবে। স্পষ্টতই আপনাকে সেই সার্ভারটি সুরক্ষিত রাখা দরকার।

আপনার প্যারানিয়াটি কতটা প্রয়োজনীয় তা নিয়ে আমি রায় দিতে পারি না, এটি আপনার পরিবেশের উপর নির্ভর করে। তবে, আমি আত্মবিশ্বাসের সাথে বলতে পারি যে আপনার বিদ্যমান কনফিগারেশনের দুটি প্রধান পয়েন্ট এখনও প্রয়োগ করতে পারে। আপনি আপনার পাপেটমাস্টার যেখানেই থাকুন না কেন, নিরাপদ পরিবেশ (আপনার অফিসে রিপোজিটরি) থেকে কম সুরক্ষিত পরিবেশে আপনার পরিবর্তনের পথটি নিশ্চিত করতে পারেন। আপনি প্রক্রিয়াটি এসএফটিপি'র থেকে একগুচ্ছ সার্ভারে স্থান পরিবর্তন করুন এবং ম্যানুয়ালি ফাইলগুলি আপনার পুতুলমাস্টারের কাছে এসএফটিপি'তে রাখবেন এবং পুতুলকে ফাইলগুলি বিতরণ করতে দিন এবং সেগুলি সঠিক জায়গায় রেখে দিন। আপনার মাস্টার স্টোরটি এখনও সংগ্রহস্থল এবং আপনার ঝুঁকিগুলি হ্রাস পেয়েছে।

আমি বিশ্বাস করি না ধাক্কা বা টান অন্য মডেলের তুলনায় অন্তর্নিহিত নিরাপদ। পুতুল ট্রানজিটে কনফিগারেশনগুলি সুরক্ষিত করার পাশাপাশি ক্লায়েন্ট এবং সার্ভার উভয়কেই সেখানে দ্বি-মুখী আস্থা রয়েছে তা নিশ্চিত করার জন্য প্রমাণীকরণের দুর্দান্ত কাজ করে।

একাধিক নেটওয়ার্ক হিসাবে - আমরা এটি কেন্দ্রীয় "মাস্টার" পুতুলমাস্টারের সাথে প্রত্যেকটি স্থানে স্যাটেলাইট পুতুলমাস্টারদের সাথে কেন্দ্রীয় মাস্টারকে ক্লায়েন্ট হিসাবে অভিনয় করে পরিচালনা করি।

একটি নকশার পদ্ধতির মধ্যে রয়েছে সিস্টেমের প্রতিটি সাইটে একটি পুতুলের মাস্টার স্থানীয় থাকে এবং পুতুলের মাস্টারগুলিতে পরিবর্তনের জন্য একটি স্থাপনার সরঞ্জাম ব্যবহার করা হয়। (গিট হুক সহ গিট ব্যবহার করাও কার্যকর হতে পারে)।

এটি একটি পাবলিক নেটওয়ার্ক ট্র্যাফিক কেবল অভ্যন্তরীণ হবে কারণ একটি পাবলিক নেটওয়ার্কে শোনার পরিষেবা সম্পর্কে আপনার উদ্বেগ রক্ষা করবে।

প্রতিটি সার্ভারে ম্যানিফিসটগুলি পুশ করা এবং পুতুল ক্লায়েন্টটি ম্যানিফেসগুলি বিশ্লেষণ এবং প্রাসঙ্গিক কনফিগারগুলি প্রয়োগ করাও সম্ভব।

আপনি "বাহ্যিক" বললেও, আমি সত্যই সন্দেহ করি যে নির্বিচারে লোকদের আপনার পুতুলের সাথে সংযুক্ত হওয়া দরকার। আপনি সবসময় মিশ্রণে একটি ভিপিএন নিক্ষেপ করতে পারেন। আমার এক বন্ধু আমাকে একবার জিজ্ঞাসা করেছিল "সংযোগটি সুরক্ষিত থাকলে প্রোটোকলের সুরক্ষা সম্পর্কে আপনার কি চিন্তা করা দরকার?" যদিও আমি সেই মনোভাবের সাথে একমত নই, একটি অতিরিক্ত স্তর কখনই ব্যথা করে না এবং অবশ্যই আমার ব্যক্তিগত মনোমালিন্য নিয়ে আশ্চর্য কাজ করে। তুরঙ্গ টানেলের সাথে মজাদার।

সিফেনিজিনের লেখক এবং বিশ্ববিদ্যালয়ের অধ্যাপক মার্ক বার্গেস (যে পুতুলটিকে তার heritageতিহ্যের প্রতিদান বলে মনে হয়) পুশ এবং টান সম্পর্কে অনেক কিছুই লিখেছেন। তিনি দাবি করেন যে টান স্বভাবতই আরও সুরক্ষিত। আপনি যদি সিফিনিজ ওয়েবসাইটটি দেখুন তবে তাদের 17 বছরের মধ্যে কেবল 1 নেটওয়ার্ক সুরক্ষা ঘটনা ঘটেছে। বার্গেস দাবি করেছেন যে এটি টান ডিজাইনের কারণে। আমি মনে করি একটি সমঝোতা অনিবার্য। আমি সেই মুহূর্তে আক্রমণাত্মক রুটগুলি সম্পর্কে আরও উদ্বিগ্ন হব।

আপনি চাইলে সেন্ট্রাল মাস্টার ছাড়াই পুতুল চালাতে পারেন। আমি যে পদ্ধতিটি দেখেছি তা হল একটি গিট সংগ্রহস্থল ব্যবহার করা এবং এমন স্ক্রিপ্ট থাকা যা কেবলমাত্র জিপিজি কীগুলির কোনও পূর্ব-সেট তালিকার দ্বারা স্বাক্ষরিত হলেই কেবল সংযুক্ত হয়ে একটি আপডেট স্থাপন করে। এমনকি লোকেরা কীভাবে সঞ্চিত কনফিগারগুলি পাবেন (উদাহরণস্বরূপ অন্য সার্ভারে প্রক্রিয়াজাত করা কোনও উত্স থেকে কেন্দ্রীয় সার্ভারে নগিওগুলি পর্যবেক্ষণ সেটআপ করার জন্য ব্যবহৃত হয়)।

সুতরাং যদি কেন্দ্রীয় গিট সার্ভার আপস করা হয় তবে অন্যান্য সার্ভারগুলি এ থেকে আর কোনও আপডেট প্রয়োগ করবে না। জিপিজি কীগুলি সিস্টেমে অ্যাডমিন ল্যাপটপগুলিতে বা কিছু প্রত্যাহার করার উপায় সহ থাকবে।

Http://current.workingdirectory.net/posts/2011/puppet-without-masters/ এ আরও পড়ুন