Sincronizzazione sicura dei nodi [chiuso]

1

C'è un'applicazione in grado di far ruotare i nodi per l'HA. Tutti i nodi devono essere sincronizzati con un file di configurazione che contiene le credenziali di tutti gli amministratori.

La soluzione corrente è attraverso una richiesta GEST RESTful per estrarre il file di configurazione sul nuovo nodo creato.

  • La richiesta è su HTTPS.
  • La richiesta richiede l'autorizzazione dell'amministratore tramite un token API.
  • Il file di configurazione non è crittografato in transito (a parte l'invio su HTTPS)
  • Il file di configurazione contiene i nomi utente di amministrazione in testo semplice
  • Il file di configurazione contiene le password di amministratore in un formato HASH + SALT
  • Tutti i nodi necessitano del file di configurazione completo

La sicurezza del file di configurazione e dei suoi contenuti è il problema principale. Le credenziali dell'amministratore in modo più specifico.

Il rischio è che qualcuno possa accedere al file in transito o tramite l'API REST. Ad esempio, altri amministratori possono richiedere questo file e vedere tutti i nomi utente degli amministratori e le loro hash + password salate.

C'è un modo più sicuro per farlo?

    
posta ismisepaul 13.09.2018 - 11:43
fonte

0 risposte

Leggi altre domande sui tag