0
キッチン(1.5.0)と迷彩(1.8.1)のシェフを使用して、新しいサーバーで一貫してユーザーを管理しています。私のユーザーレシピは以下のようになります。私は明らかに私のパスワードを設定したところシェフ:暗号化されたデータバッグからユーザーのパスワードを設定する方法
include_recipe "users"
group 'sudo'
password_secret = Chef::EncryptedDataBagItem.load_secret(node['enterprise_sp']['secret_file'])
jays_password = Chef::EncryptedDataBagItem.load('user_secrets','jgodse', password_secret)['password']
shadow_password = `openssl passwd -1 -salt xyz #{jays_password}`.strip
user 'jgodse' do
action :create
group 'sudo'
system true
shell '/bin/bash'
home '/home/jgodse'
manage_home true
password shadow_password #added to /etc/shadow when chef runs
end
暗号化されていないデータ袋でした。その後、ナイフコマンドでデータバッグを暗号化しました。
これは機能しますが、これはパスワードを設定する際の問題点のようなものです。私は、パスワードの指示がのユーザブロックだけがシャドウパスワードを取るので、それはopensslコマンドに砲撃することによってのみ生成できるからです。
シャドーパスワードを取得するクリーナーはありませんか?opensslパスワードを生成するコマンドですか?
SSHパスワードアクセスを無効にし、ルートアクセスを無効にし、SSHキーを排他的に使用することが最も安全なソリューションです。鍵をSSHで使用した後でシステムにパスワードが必要な場合は、パスワードを手動で生成してschleppingするのが最も合理的な解決策です。 –
また、唯一のパスワードはもうsudoで使用される場所ですが、実際にはセキュリティの向上が最小限であることをお勧めしません。 – coderanger
Sudoはまさに私が最初にパスワードを必要とした理由です。 –