C'è un'applicazione in grado di far ruotare i nodi per l'HA. Tutti i nodi devono essere sincronizzati con un file di configurazione che contiene le credenziali di tutti gli amministratori.
La soluzione corrente è attraverso una richiesta GEST RESTful per estrarre il file di configurazione sul nuovo nodo creato.
- La richiesta è su HTTPS.
- La richiesta richiede l'autorizzazione dell'amministratore tramite un token API.
- Il file di configurazione non è crittografato in transito (a parte l'invio su HTTPS)
- Il file di configurazione contiene i nomi utente di amministrazione in testo semplice
- Il file di configurazione contiene le password di amministratore in un formato HASH + SALT
- Tutti i nodi necessitano del file di configurazione completo
La sicurezza del file di configurazione e dei suoi contenuti è il problema principale. Le credenziali dell'amministratore in modo più specifico.
Il rischio è che qualcuno possa accedere al file in transito o tramite l'API REST. Ad esempio, altri amministratori possono richiedere questo file e vedere tutti i nomi utente degli amministratori e le loro hash + password salate.
C'è un modo più sicuro per farlo?