HARDENING SALT

本主題包含可用于保護(hù)和強(qiáng)化Salt環(huán)境的配置提示。 如何最好地保護(hù)和加強(qiáng)你的Salt環(huán)境在很大程度上取決于你如何使用Salt、在哪里使用Salt、你的團(tuán)隊(duì)結(jié)構(gòu)、從何處獲取數(shù)據(jù)以及你需要什么類型的訪問（內(nèi)部和外部）。

GENERAL HARDENING TIPS 一般安全加固技巧

• 限制誰可以直接登錄你的Salt master系統(tǒng)。
• 使用通過密碼短語保護(hù)的SSH密鑰訪問Salt master系統(tǒng)。
• 跟蹤和保護(hù)你或你的團(tuán)隊(duì)訪問Salt master系統(tǒng)所需的SSH密鑰和任何其他登錄憑據(jù)。
• 使用強(qiáng)化堡壘機(jī)或VPN以限制從Internet直接訪問Salt master。
• 不要將Salt master暴露在需要服務(wù)的范圍之外。
• 像對待任何高優(yōu)先級目標(biāo)一樣強(qiáng)化系統(tǒng)。
• 保持系統(tǒng)修補(bǔ)和最新。
• 使用嚴(yán)密的防火墻規(guī)則。

SALT HARDENING TIPS Salt安全加固技巧

• 訂閱salt-users或salt-announce，以便了解新的Salt版本何時(shí)可用。使用最新的補(bǔ)丁使系統(tǒng)保持最新狀態(tài)。
• 使用Salt的客戶端ACL系統(tǒng)，以避免必須放棄root訪問權(quán)限才能運(yùn)行Salt命令。
• 使用Salt的客戶端ACL系統(tǒng)來限制哪些用戶可以運(yùn)行哪些命令。
• 使用外部Pillar將數(shù)據(jù)從外部源提取到Salt中，以便非系統(tǒng)管理員（其他團(tuán)隊(duì)，如初級管理員、開發(fā)人員等）不需要登錄Salt master，就也可以提供配置數(shù)據(jù)。
• 大量使用受版本控制的SLS文件，并在生產(chǎn)環(huán)境中部署和運(yùn)行之前進(jìn)行同行評審/代碼審查流程。即使對于那些“一次性”的CLI命令，這也是一個(gè)很好的建議，因?yàn)樗兄诰徑忮e(cuò)別字和其他錯(cuò)誤。
• 如果需要將Salt master服務(wù)器公開給外部服務(wù)，請使用salt-api、SSL并限制必須使用外部auth系統(tǒng)進(jìn)行身份驗(yàn)證。
• 利用Salt的事件系統(tǒng)和reactor，允許minions向Salt master發(fā)送信號，而無需直接訪問。
• 以非root用戶身份運(yùn)行salt-master守護(hù)程序。
• 使用disable_modules設(shè)置禁用將哪些模塊加載到minions上。 （例如，如果在你的環(huán)境中有管理意義，請禁用cmd模塊。）
• 查看有完整注釋說明的配置文件示例，master和minion配置文件。其中有很多配置項(xiàng)可以發(fā)揮某些方面的保護(hù)作用。
• 在特別敏感的minions上運(yùn)行masterless-mode minions。如果你需要進(jìn)一步限制一個(gè)minion，還有Salt SSH或modules.sudo。

SECURITY DISCLOSURE POLICY 安全披露政策

email

security@saltstack.com

gpg key ID

4EA0793D

gpg key fingerprint

8ABE 4EFC F0F4 B24B FF2A AF90 D570 F2D3 4EA0 793D

gpg public key:

-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG/MacGPG2 v2.0.22 (Darwin)mQINBFO15mMBEADa3CfQwk5ED9wAQ8fFDku277CegG3U1hVGdcxqKNvucblwoKCb hRK6u9ihgaO9V9duV2glwgjytiBI/z6lyWqdaD37YXG/gTL+9Md+qdSDeaOa/9eg 7y+g4P+FvU9HWUlujRVlofUn5Dj/IZgUywbxwEybutuzvvFVTzsn+DFVwTH34Qoh QIuNzQCSEz3Lhh8zq9LqkNy91ZZQO1ZIUrypafspH6GBHHcE8msBFgYiNBnVcUFH u0r4j1Rav+621EtD5GZsOt05+NJI8pkaC/dDKjURcuiV6bhmeSpNzLaXUhwx6f29 Vhag5JhVGGNQxlRTxNEM86HEFp+4zJQ8m/wRDrGX5IAHsdESdhP+ljDVlAAX/ttP /Ucl2fgpTnDKVHOA00E515Q87ZHv6awJ3GL1veqi8zfsLaag7rw1TuuHyGLOPkDt t5PAjsS9R3KI7pGnhqI6bTOi591odUdgzUhZChWUUX1VStiIDi2jCvyoOOLMOGS5 AEYXuWYP7KgujZCDRaTNqRDdgPd93Mh9JI8UmkzXDUgijdzVpzPjYgFaWtyK8lsc Fizqe3/Yzf9RCVX/lmRbiEH+ql/zSxcWlBQd17PKaL+TisQFXcmQzccYgAxFbj2r QHp5ABEu9YjFme2Jzun7Mv9V4qo3JF5dmnUk31yupZeAOGZkirIsaWC3hwARAQAB tDBTYWx0U3RhY2sgU2VjdXJpdHkgVGVhbSA8c2VjdXJpdHlAc2FsdHN0YWNrLmNv bT6JAj4EEwECACgFAlO15mMCGwMFCQeGH4AGCwkIBwMCBhUIAgkKCwQWAgMBAh4B AheAAAoJENVw8tNOoHk9z/MP/2vzY27fmVxU5X8joiiturjlgEqQw41IYEmWv1Bw 4WVXYCHP1yu/1MC1uuvOmOd5BlI8YO2C2oyW7d1B0NorguPtz55b7jabCElekVCh h/H4ZVThiwqgPpthRv/2npXjIm7SLSs/kuaXo6Qy2JpszwDVFw+xCRVL0tH9KJxz HuNBeVq7abWD5fzIWkmGM9hicG/R2D0RIlco1Q0VNKy8klG+pOFOW886KnwkSPc7 JUYp1oUlHsSlhTmkLEG54cyVzrTP/XuZuyMTdtyTc3mfgW0adneAL6MARtC5UB/h q+v9dqMf4iD3wY6ctu8KWE8Vo5MUEsNNO9EA2dUR88LwFZ3ZnnXdQkizgR/Aa515 dm17vlNkSoomYCo84eN7GOTfxWcq+iXYSWcKWT4X+h/ra+LmNndQWQBRebVUtbKE ZDwKmiQz/5LY5EhlWcuU4lVmMSFpWXt5FR/PtzgTdZAo9QKkBjcv97LYbXvsPI69 El1BLAg+m+1UpE1L7zJT1il6PqVyEFAWBxW46wXCCkGssFsvz2yRp0PDX8A6u4yq rTkt09uYht1is61joLDJ/kq3+6k8gJWkDOW+2NMrmf+/qcdYCMYXmrtOpg/wF27W GMNAkbdyzgeX/MbUBCGCMdzhevRuivOI5bu4vT5s3KdshG+yhzV45bapKRd5VN+1 mZRquQINBFO15mMBEAC5UuLii9ZLz6qHfIJp35IOW9U8SOf7QFhzXR7NZ3DmJsd3 f6Nb/habQFIHjm3K9wbpj+FvaW2oWRlFVvYdzjUq6c82GUUjW1dnqgUvFwdmM835 1n0YQ2TonmyaF882RvsRZrbJ65uvy7SQxlouXaAYOdqwLsPxBEOyOnMPSktW5V2U IWyxsNP3sADchWIGq9p5D3Y/loyIMsS1dj+TjoQZOKSj7CuRT98+8yhGAY8YBEXu 9r3I9o6mDkuPpAljuMc8r09Im6az2egtK/szKt4Hy1bpSSBZU4W/XR7XwQNywmb3 wxjmYT6Od3Mwj0jtzc3gQiH8hcEy3+BO+NNmyzFVyIwOLziwjmEcw62S57wYKUVn HD2nglMsQa8Ve0e6ABBMEY7zGEGStva59rfgeh0jUMJiccGiUDTMs0tdkC6knYKb u/fdRqNYFoNuDcSeLEw4DdCuP01l2W4yY+fiK6hAcL25amjzc+yYo9eaaqTn6RAT bzdhHQZdpAMxY+vNT0+NhP1Zo5gYBMR65Zp/VhFsf67ijb03FUtdw9N8dHwiR2m8 vVA8kO/gCD6wS2p9RdXqrJ9JhnHYWjiVuXR+f755ZAndyQfRtowMdQIoiXuJEXYw 6XN+/BX81gJaynJYc0uw0MnxWQX+A5m8HqEsbIFUXBYXPgbwXTm7c4IHGgXXdwAR AQABiQIlBBgBAgAPBQJTteZjAhsMBQkHhh+AAAoJENVw8tNOoHk91rcQAIhxLv4g duF/J1Cyf6Wixz4rqslBQ7DgNztdIUMjCThg3eB6pvIzY5d3DNROmwU5JvGP1rEw hNiJhgBDFaB0J/y28uSci+orhKDTHb/cn30IxfuAuqrv9dujvmlgM7JUswOtLZhs 5FYGa6v1RORRWhUx2PQsF6ORg22QAaagc7OlaO3BXBoiE/FWsnEQCUsc7GnnPqi7 um45OJl/pJntsBUKvivEU20fj7j1UpjmeWz56NcjXoKtEvGh99gM5W2nSMLE3aPw vcKhS4yRyLjOe19NfYbtID8m8oshUDji0XjQ1z5NdGcf2V1YNGHU5xyK6zwyGxgV xZqaWnbhDTu1UnYBna8BiUobkuqclb4T9k2WjbrUSmTwKixokCOirFDZvqISkgmN r6/g3w2TRi11/LtbUciF0FN2pd7rj5mWrOBPEFYJmrB6SQeswWNhr5RIsXrQd/Ho zvNm0HnUNEe6w5YBfA6sXQy8B0Zs6pcgLogkFB15TuHIIIpxIsVRv5z8SlEnB7HQ Io9hZT58yjhekJuzVQB9loU0C/W0lzci/pXTt6fd9puYQe1DG37pSifRG6kfHxrR if6nRyrfdTlawqbqdkoqFDmEybAM9/hv3BqriGahGGH/hgplNQbYoXfNwYMYaHuB aSkJvrOQW8bpuAzgVyd7TyNFv+t1kLlfaRYJ =wBTJ -----END PGP PUBLIC KEY BLOCK-----

SaltStack安全團(tuán)隊(duì)會及時(shí)響應(yīng)security@saltstack.com郵箱中收到的與安全相關(guān)的錯(cuò)誤報(bào)告或問題。

我們要求以非公開的方式披露任何與安全相關(guān)的錯(cuò)誤或問題，以便可以解決問題并準(zhǔn)備好安全修復(fù)版。 條件具備時(shí)我們將發(fā)布修復(fù)程序，并就升級說明和下載位置發(fā)布公告。

SECURITY RESPONSE PROCEDURE 安全事件響應(yīng)流程

SaltStack非常重視安全性和客戶及用戶的信任。我們的披露政策旨在盡可能快速，安全地解決安全問題。

發(fā)送至security@saltstack.com的安全報(bào)告將分配給團(tuán)隊(duì)成員。此人是問題的主要聯(lián)系人，將協(xié)調(diào)修復(fù)，發(fā)布和公告。

報(bào)告的問題會得到分析和確認(rèn)，并列出受影響的項(xiàng)目和發(fā)布。

針對所有受到支持的受影響項(xiàng)目和版本實(shí)施修復(fù)。修復(fù)程序向后適用于任何仍受到支持的舊版本。

問題得到解決后，通過salt-packagers郵件列表通知負(fù)責(zé)打包的團(tuán)隊(duì)，即將發(fā)布公告。

將創(chuàng)建一個(gè)新版本并將其推送到所有受影響的存儲庫。發(fā)行文檔中會提供問題的完整描述，以及任何升級說明或其他相關(guān)詳細(xì)信息。

向salt-users和salt-announce郵件列表發(fā)布公告。該公告包含該問題的說明以及完整版本文檔和下載位置的鏈接。

接收安全通知

收到安全公告通知的最快方式是通過salt-announce郵件列表。

總結(jié)

以上是生活随笔為你收集整理的HARDENING SALT - SaltStack安全加固措施介绍的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。