Perché gli strumenti di gestione della configurazione software (SCM) autenticano solo client anziché server?

0

Ho notato che probabilmente tutti i 4 popolari Strumenti di gestione della configurazione software (SCM) , cioè:

  1. Puppet ,
  2. Ansible ,
  3. Chef ,
  4. Salt

usa l'autenticazione solo dei client invece dell'autenticazione del server - correggimi se ho torto (ho il sospetto di sbagliarmi, ma non so perché).

Perché è così? Non è pericoloso fidarsi del server che di fatto gestisce quasi tutti i dettagli della configurazione del sistema dei client?

Qui è la descrizione di come L'autenticazione di Puppet è fornita. Non è possibile per un utente malintenzionato eseguire l'attacco MITM fingendo di essere Puppet server ? L'autenticazione dei client da parte del server fornisce in qualche modo l'autenticazione reciproca?

    
posta patryk.beza 17.09.2017 - 14:47
fonte

2 risposte

1

Here is description of how Puppet's authentication is provided.

Il link che fornisci dice chiaramente:

Communication between the master and agents is granted and secured with client-verified HTTPS, which requires valid identifying SSL certificates.

Dato che un certo tipo di autenticazione del server viene sempre eseguita con HTTPS, ciò significa solo che l'autenticazione del client viene eseguita in aggiunta all'autenticazione del server e non che solo l'autenticazione del client viene eseguita.

    
risposta data 17.09.2017 - 16:47
fonte
0

Risposta parziale:

Uso Ansible con autenticazione SSH Key. Direi che include un'autenticazione del server nel senso che il server Ansible deve dimostrare ogni volta che detiene la chiave privata per un'autenticazione della chiave SSH. Lo stesso vale anche con l'autenticazione della password.

Quindi in questo caso la domanda si riduce a "sarebbe possibile un attacco MITM quando si avvia una sessione SSH?" L'unica disposizione AFAIK sta controllando il controllo di HostKey - che è manuale la prima volta - e automatico in seguito. Credo che questo aspetto sia stato discusso prima. ad esempio, Come proteggere correttamente una sessione ssh contro Attacco MITM?

    
risposta data 17.09.2017 - 15:27
fonte