SaltStackファイル・サーバー・アクセス制御

Question

私は、さまざまな下位レベルに対して異なるセキュリティ・レベルを設定しようとしています。私はすでに別の柱を持っているので、1人のミニオンのための秘密のSSHキーは別のものから見ることができません。

私が達成したいのは、他の誰かが実行しているエッジクラウドサーバーのように、攻撃を受けやすいミニオンが、ハイレベルな環境にインストールしているファイルルート内のソフトウェアパッケージをダウンロードしたり、私自身のデータセンター内のセキュリティー・ミニオン。

ソルトファイルサーバーは、複数の環境に存在するオーバーロードされたファイル名を除いて、すべてのファイルをすべてのミニオンに提供するように見えます。

環境、柱、または巧妙なファイル・ルート特定の手先に特定のファイルにアクセスできないようするために含まれるを使用して、これはどのような方法で可能であることを思えないのですか？

Answer 1

設計上、saltファイルサーバーはすべてのファイルに対してすべてのファイルを提供します。

これを回避する方法があります。

シンジックを使用してください。手先だけで、それが直接に接続されているマスターのfile_rootsを見ることができますので、あなたのeasy-to-attack手先が特定のインハウスローヤーに接続するかもしれないが、あなたの手下たちの残りの部分はに直接接続することをあなたはまだトップレベルのマスターからそれらをコントロールすることができます。