HARDENING SALT

本主題包含可用于保護和強化Salt環境的配置提示。 如何最好地保護和加強你的Salt環境在很大程度上取決于你如何使用Salt、在哪里使用Salt、你的團隊結構、從何處獲取數據以及你需要什么類型的訪問（內部和外部）。

GENERAL HARDENING TIPS 一般安全加固技巧

• 限制誰可以直接登錄你的Salt master系統。
• 使用通過密碼短語保護的SSH密鑰訪問Salt master系統。
• 跟蹤和保護你或你的團隊訪問Salt master系統所需的SSH密鑰和任何其他登錄憑據。
• 使用強化堡壘機或VPN以限制從Internet直接訪問Salt master。
• 不要將Salt master暴露在需要服務的范圍之外。
• 像對待任何高優先級目標一樣強化系統。
• 保持系統修補和最新。
• 使用嚴密的防火墻規則。

SALT HARDENING TIPS Salt安全加固技巧

• 訂閱salt-users或salt-announce，以便了解新的Salt版本何時可用。使用最新的補丁使系統保持最新狀態。
• 使用Salt的客戶端ACL系統，以避免必須放棄root訪問權限才能運行Salt命令。
• 使用Salt的客戶端ACL系統來限制哪些用戶可以運行哪些命令。
• 使用外部Pillar將數據從外部源提取到Salt中，以便非系統管理員（其他團隊，如初級管理員、開發人員等）不需要登錄Salt master，就也可以提供配置數據。
• 大量使用受版本控制的SLS文件，并在生產環境中部署和運行之前進行同行評審/代碼審查流程。即使對于那些“一次性”的CLI命令，這也是一個很好的建議，因為它有助于緩解錯別字和其他錯誤。
• 如果需要將Salt master服務器公開給外部服務，請使用salt-api、SSL并限制必須使用外部auth系統進行身份驗證。
• 利用Salt的事件系統和reactor，允許minions向Salt master發送信號，而無需直接訪問。
• 以非root用戶身份運行salt-master守護程序。
• 使用disable_modules設置禁用將哪些模塊加載到minions上。 （例如，如果在你的環境中有管理意義，請禁用cmd模塊。）
• 查看有完整注釋說明的配置文件示例，master和minion配置文件。其中有很多配置項可以發揮某些方面的保護作用。
• 在特別敏感的minions上運行masterless-mode minions。如果你需要進一步限制一個minion，還有Salt SSH或modules.sudo。

SECURITY DISCLOSURE POLICY 安全披露政策

email

security@saltstack.com

gpg key ID

4EA0793D

gpg key fingerprint

8ABE 4EFC F0F4 B24B FF2A AF90 D570 F2D3 4EA0 793D

gpg public key:

-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG/MacGPG2 v2.0.22 (Darwin)mQINBFO15mMBEADa3CfQwk5ED9wAQ8fFDku277CegG3U1hVGdcxqKNvucblwoKCb hRK6u9ihgaO9V9duV2glwgjytiBI/z6lyWqdaD37YXG/gTL+9Md+qdSDeaOa/9eg 7y+g4P+FvU9HWUlujRVlofUn5Dj/IZgUywbxwEybutuzvvFVTzsn+DFVwTH34Qoh QIuNzQCSEz3Lhh8zq9LqkNy91ZZQO1ZIUrypafspH6GBHHcE8msBFgYiNBnVcUFH u0r4j1Rav+621EtD5GZsOt05+NJI8pkaC/dDKjURcuiV6bhmeSpNzLaXUhwx6f29 Vhag5JhVGGNQxlRTxNEM86HEFp+4zJQ8m/wRDrGX5IAHsdESdhP+ljDVlAAX/ttP /Ucl2fgpTnDKVHOA00E515Q87ZHv6awJ3GL1veqi8zfsLaag7rw1TuuHyGLOPkDt t5PAjsS9R3KI7pGnhqI6bTOi591odUdgzUhZChWUUX1VStiIDi2jCvyoOOLMOGS5 AEYXuWYP7KgujZCDRaTNqRDdgPd93Mh9JI8UmkzXDUgijdzVpzPjYgFaWtyK8lsc Fizqe3/Yzf9RCVX/lmRbiEH+ql/zSxcWlBQd17PKaL+TisQFXcmQzccYgAxFbj2r QHp5ABEu9YjFme2Jzun7Mv9V4qo3JF5dmnUk31yupZeAOGZkirIsaWC3hwARAQAB tDBTYWx0U3RhY2sgU2VjdXJpdHkgVGVhbSA8c2VjdXJpdHlAc2FsdHN0YWNrLmNv bT6JAj4EEwECACgFAlO15mMCGwMFCQeGH4AGCwkIBwMCBhUIAgkKCwQWAgMBAh4B AheAAAoJENVw8tNOoHk9z/MP/2vzY27fmVxU5X8joiiturjlgEqQw41IYEmWv1Bw 4WVXYCHP1yu/1MC1uuvOmOd5BlI8YO2C2oyW7d1B0NorguPtz55b7jabCElekVCh h/H4ZVThiwqgPpthRv/2npXjIm7SLSs/kuaXo6Qy2JpszwDVFw+xCRVL0tH9KJxz HuNBeVq7abWD5fzIWkmGM9hicG/R2D0RIlco1Q0VNKy8klG+pOFOW886KnwkSPc7 JUYp1oUlHsSlhTmkLEG54cyVzrTP/XuZuyMTdtyTc3mfgW0adneAL6MARtC5UB/h q+v9dqMf4iD3wY6ctu8KWE8Vo5MUEsNNO9EA2dUR88LwFZ3ZnnXdQkizgR/Aa515 dm17vlNkSoomYCo84eN7GOTfxWcq+iXYSWcKWT4X+h/ra+LmNndQWQBRebVUtbKE ZDwKmiQz/5LY5EhlWcuU4lVmMSFpWXt5FR/PtzgTdZAo9QKkBjcv97LYbXvsPI69 El1BLAg+m+1UpE1L7zJT1il6PqVyEFAWBxW46wXCCkGssFsvz2yRp0PDX8A6u4yq rTkt09uYht1is61joLDJ/kq3+6k8gJWkDOW+2NMrmf+/qcdYCMYXmrtOpg/wF27W GMNAkbdyzgeX/MbUBCGCMdzhevRuivOI5bu4vT5s3KdshG+yhzV45bapKRd5VN+1 mZRquQINBFO15mMBEAC5UuLii9ZLz6qHfIJp35IOW9U8SOf7QFhzXR7NZ3DmJsd3 f6Nb/habQFIHjm3K9wbpj+FvaW2oWRlFVvYdzjUq6c82GUUjW1dnqgUvFwdmM835 1n0YQ2TonmyaF882RvsRZrbJ65uvy7SQxlouXaAYOdqwLsPxBEOyOnMPSktW5V2U IWyxsNP3sADchWIGq9p5D3Y/loyIMsS1dj+TjoQZOKSj7CuRT98+8yhGAY8YBEXu 9r3I9o6mDkuPpAljuMc8r09Im6az2egtK/szKt4Hy1bpSSBZU4W/XR7XwQNywmb3 wxjmYT6Od3Mwj0jtzc3gQiH8hcEy3+BO+NNmyzFVyIwOLziwjmEcw62S57wYKUVn HD2nglMsQa8Ve0e6ABBMEY7zGEGStva59rfgeh0jUMJiccGiUDTMs0tdkC6knYKb u/fdRqNYFoNuDcSeLEw4DdCuP01l2W4yY+fiK6hAcL25amjzc+yYo9eaaqTn6RAT bzdhHQZdpAMxY+vNT0+NhP1Zo5gYBMR65Zp/VhFsf67ijb03FUtdw9N8dHwiR2m8 vVA8kO/gCD6wS2p9RdXqrJ9JhnHYWjiVuXR+f755ZAndyQfRtowMdQIoiXuJEXYw 6XN+/BX81gJaynJYc0uw0MnxWQX+A5m8HqEsbIFUXBYXPgbwXTm7c4IHGgXXdwAR AQABiQIlBBgBAgAPBQJTteZjAhsMBQkHhh+AAAoJENVw8tNOoHk91rcQAIhxLv4g duF/J1Cyf6Wixz4rqslBQ7DgNztdIUMjCThg3eB6pvIzY5d3DNROmwU5JvGP1rEw hNiJhgBDFaB0J/y28uSci+orhKDTHb/cn30IxfuAuqrv9dujvmlgM7JUswOtLZhs 5FYGa6v1RORRWhUx2PQsF6ORg22QAaagc7OlaO3BXBoiE/FWsnEQCUsc7GnnPqi7 um45OJl/pJntsBUKvivEU20fj7j1UpjmeWz56NcjXoKtEvGh99gM5W2nSMLE3aPw vcKhS4yRyLjOe19NfYbtID8m8oshUDji0XjQ1z5NdGcf2V1YNGHU5xyK6zwyGxgV xZqaWnbhDTu1UnYBna8BiUobkuqclb4T9k2WjbrUSmTwKixokCOirFDZvqISkgmN r6/g3w2TRi11/LtbUciF0FN2pd7rj5mWrOBPEFYJmrB6SQeswWNhr5RIsXrQd/Ho zvNm0HnUNEe6w5YBfA6sXQy8B0Zs6pcgLogkFB15TuHIIIpxIsVRv5z8SlEnB7HQ Io9hZT58yjhekJuzVQB9loU0C/W0lzci/pXTt6fd9puYQe1DG37pSifRG6kfHxrR if6nRyrfdTlawqbqdkoqFDmEybAM9/hv3BqriGahGGH/hgplNQbYoXfNwYMYaHuB aSkJvrOQW8bpuAzgVyd7TyNFv+t1kLlfaRYJ =wBTJ -----END PGP PUBLIC KEY BLOCK-----

SaltStack安全團隊會及時響應security@saltstack.com郵箱中收到的與安全相關的錯誤報告或問題。

我們要求以非公開的方式披露任何與安全相關的錯誤或問題，以便可以解決問題并準備好安全修復版。 條件具備時我們將發布修復程序，并就升級說明和下載位置發布公告。

SECURITY RESPONSE PROCEDURE 安全事件響應流程

SaltStack非常重視安全性和客戶及用戶的信任。我們的披露政策旨在盡可能快速，安全地解決安全問題。

發送至security@saltstack.com的安全報告將分配給團隊成員。此人是問題的主要聯系人，將協調修復，發布和公告。

報告的問題會得到分析和確認，并列出受影響的項目和發布。

針對所有受到支持的受影響項目和版本實施修復。修復程序向后適用于任何仍受到支持的舊版本。

問題得到解決后，通過salt-packagers郵件列表通知負責打包的團隊，即將發布公告。

將創建一個新版本并將其推送到所有受影響的存儲庫。發行文檔中會提供問題的完整描述，以及任何升級說明或其他相關詳細信息。

向salt-users和salt-announce郵件列表發布公告。該公告包含該問題的說明以及完整版本文檔和下載位置的鏈接。

接收安全通知

收到安全公告通知的最快方式是通過salt-announce郵件列表。

總結

以上是生活随笔為你收集整理的HARDENING SALT - SaltStack安全加固措施介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。