0
私は会社で働き、多くの従業員がsensuサーバーにアクセスします。 /etc/sensu/conf.dファイルには、チェックを実行するためのコマンドを含むjsonファイルがあります。しかし、これらのコマンドの中には、他のユーザーに見せたくない機密情報が含まれているものがあります。コマンドの情報を隠すための最良の方法は何でしょうか?コマンドからsensu情報を隠す
A
答えて
1
人は、クライアントではなくsensuサーバーにアクセスでき、クライアントのカスタムパラメータとしてパスワードを渡すことができます。 これは、クライアント上のクライアント設定ファイルに保存され、サーバ上には表示されません。
1
私は3つの解決策を考えることができます:
あなたのチェックに秘密管理を追加する必要があります。これは、通常、秘密管理ソフトウェア(例えば、Vault)を設定して、秘密へのアクセスをAPI経由で管理することを義務づけています。これにより、すべての秘密がサーバーから保護されます。
私たちが使用した別の方法は、Chef Encrypted Data Bagsです。これはあなたの秘密をサーバーに持ち込みますが、バージョンコントロールを行うよりも安全です。
最も簡単な解決策は、サーバー上のディレクトリをロックして平文で保管することです。
rootまたはsensuユーザーとしてフォルダにアクセスできますか?そうでなければsensu(とroot)だけがそれを開いて読むことができるようにsensuフォルダのパーミッションを変更するだけです。 (あなたの会社にセキュリティコンサルタントがいれば、すでにこれを設定しているはずです) – Kobbe