Sto cercando suggerimenti dalla community sul modo migliore per affrontare questo problema di protezione di un file di testo pur continuando a renderlo abbastanza condivisibile:
-
Ho una raccolta di ricette per chef in git, che definiscono laboratori, ad es. una configurazione di jenkins CI, che le persone saranno in grado di utilizzare e personalizzare a proprio uso
-
Tuttavia, posso prevedere circostanze in cui qualcuno potrebbe voler aggiungere alcune sezioni immutabili del libro di cucina, ad es. impostazioni del firewall
-
Quale strategia avrebbe senso bloccare alcune sezioni del file per convalidare che non è stato modificato, consentendo al tempo stesso modifiche arbitrarie al di fuori di
-
Idealmente risolverebbe anche la possibilità di offuscare le sezioni se necessario
Aggiungerei la mia DSL nel codice - con un checksum per ogni blocco protetto - pre-elaborarlo per scartarlo e convalidarlo prima di passarlo allo chef?
es. Il mio primo tentativo in un formato - continua a non risolvere il problema delle persone che eliminano tutte le sezioni firmate - a meno che non sia necessario firmare ogni file
naturalmente potrei pensare a questo in modo sbagliato.
#---SIGNED-FILE SHA-256 507e74380188c07bad2fa66acb8cbbeeb63f84fcee5fd639499575654239cd49
#
# Cookbook Name:: jenkins
# Recipe:: default
#
# https://wiki.jenkins-ci.org/display/JENKINS/Installing+Jenkins+on+Ubuntu
# This is super-simple, compared to the other Chef cookbook I found
# for Jenkins (https://github.com/fnichol/chef-jenkins).
#
# This doesn't include Chef libraries for adding Jenkin's jobs via
# the command line, but it does get Jenkins up and running.
include_recipe "apt"
include_recipe "java"
#---SIGNED-SECTION-START SHA-256 e4d3d02f14ee2a6d815a91307c610c3e182979ce8fca92cef05e53ea9c90f5c7
apt_repository "jenkins" do
uri "http://pkg.jenkins-ci.org/debian"
key "http://pkg.jenkins-ci.org/debian/jenkins-ci.org.key"
components ["binary/"]
action :add
end
#---SIGNED-SECTION-END
#---OBFUSCATED-SECTION-START SHA-256 5f536f2137dc7e2c5817de861d1329ead72b1e9d2dbb9dbe181ec7bc274dddeb
YXB0X3JlcG9zaXRvcnkgImplbmtpbnMiIGRvCiAgdXJpICJodHRwOi8vcGtnLmplbmtpbnMtY2kub3JnL2RlYmlhbiIKICBrZXkgImh0dHA6Ly9wa2cuamVua2lucy1jaS5vcmcvZGViaWFuL2plbmtpbnMtY2kub3JnLmtleSIKICBjb21wb25lbnRzIFsiYmluYXJ5LyJdCiAgYWN0aW9uIDphZGQKZW5k
#---OBFUSCATED-SECTION-END
package "jenkins"
service "jenkins" do
supports [:stop, :start, :restart]
action [:start, :enable]
end