Ansible in un'immagine cloud

0

Sto cercando di usare Ansible per gestire i miei sistemi e, esaminando la sua documentazione, ho trovato un consiglio per eseguire i comandi Ansible su un'immagine cloud piuttosto che sul mio laptop locale.

La mia comprensione è che Ansible agisce fondamentalmente come un utente SSH per i sistemi che gestisce. Quindi questa raccomandazione non significherebbe che avrei archiviato chiavi autorizzate su tutti i miei sistemi (con utenti abilitati per sudo!) Tutto in un'unica immagine cloud?

In altre parole, se quell'immagine del cloud è mai compromessa, sono completamente rovinata.

Questa è una valutazione del rischio corretta o non capisco qualcosa?

    
posta AlanObject 19.07.2018 - 20:11
fonte

2 risposte

1

Cloud a parte, se Ansible viene compromesso, espone tutti i server che gestisce.

La domanda diventa: il modo migliore per mitigare tale rischio.

Se usi il laptop, qualsiasi cosa tu faccia sul laptop potenzialmente espone Ansible. Navigazione, installazione, ecc. Un'immagine dedicata e bloccata che non viene utilizzata per l'attività personale è migliore, in che riguardo.

Ansible mette tutte le uova in un cesto e poi, per citare Andrew Carnegie, "guarda quel cesto!"

    
risposta data 19.07.2018 - 20:50
fonte
1

Aiuta a distribuire le chiavi pubbliche autorizzate sui tuoi sistemi gestiti da Ansible con il parametro "da=" con un piccolo set di server Ansible per nodo gestito (due o tre sarebbero l'ideale, ne vuoi più di uno per ridondanza, ma lanciare una rete troppo ampia qui sconfigge lo scopo). Sfortunatamente, non puoi limitare con il parametro "command=" perché Ansible crea nomi arbitrari per i comandi che esegue per eseguire i playbook.

Oltre a ciò, è praticamente una questione di applicazione dei principi di hardening generale ai server Ansible per proteggere le chiavi.

    
risposta data 19.07.2018 - 21:46
fonte

Leggi altre domande sui tag