Битрикс для разработчиков
Чат экстремального погром...
Qt
symfony
Ansible
Unity Engine: вопрос - от...
Nuxt.js | Vue SSR
Боты на Telegraf
Data Science Chat
Android Architecture
QA — русскоговорящее сооб...
DBA - русскоговорящее соо...
Tarantool
Unreal Engine
☁️ AWS_RU
Blender_ru: вопрос-ответ.
MongoDB Russian
Yandex Cloud - Официальны...
Git
DevsHelper
Big Data Science :: AI / ...
pro.kafka
3ds Max
1C
Вокруг да около Zigbee
Android Declarative
freebsd_ru
Atlassian Community - Rus...
Чат про Fusion 360 и 3D
OctoberCMS
ru_gitlab
Godot Engine (Russian)
MySQL
Yii Framework 2
Data Engineers
Чат Tableau
Cinema 4D
Evolution CMS
Odoo talks & fun
Software Design/Architect...
pro.buildsystems
Webpack — русскоговорящее...
Yii Framework 3
QA juniors
RUSCADASEC community: Киб...
ru_hashicorp
Grafana Loki
VictoriaMetrics_ru
.NET Group
Google Cloud Platform_ru
DevSecOps - русскоговорящ...
![Netbeans [RU]](https://image.telq.org/channel_avatar_1102508152_467588515831589735_mini.jpeg){kind=avatar}
Netbeans [RU]
В статье про передачу секретных ключей на сервер написано: «Когда ваши
данные переданы, Ansible может записать эти данные открытым способом в имеющуюся файловую систему. Это может произойти если не применяется pipelining»
Я так понял, достаточно установить ansible_ssh_pipelining в true чтобы секретные данные не сохранялись в файлы?
11 ответов
Я тоже не понимаю чего написано в этом абзаце. Скажите чего хотите сделать.
Lambda
Function
Автор вопроса
Я тоже не понимаю чего написано в этом абзаце. Ска...
Есть такое понятие как "секреты", это логин и пароль к субд, ключи api, ключи шифрования и т.п. Хранить секреты открытым текстом в конфигах на сервере небезопасно, так как злоумышленник получивший права на чтение файлов сможет эти секреты получить. Можно повысить безопасность если хранить секреты вне сервера и передавать их на сервер при запуске чтобы они хранились в ОЗУ и нигде на диск не записывались. Конечно же, их можно вытащить из ОЗУ, но это уже сложнее чем написать cat conf* Каким образом можно безопасно передать секреты (или, если этот термин непривычен, читайте "переменные") от ансибл серверному приложению напрямую без сохранения их в файл на сервере?
Есть такое понятие как "секреты", это логин и паро...
это не задача ansible. используйте hashicorp vault и научите ваше по с ним работать.
Lambda
Function
Автор вопроса
это не задача ansible. используйте hashicorp vault...
Похоже, вы не слышали про ansible vault
Похоже, вы не слышали про ansible vault
похоже что вы задали вопрос который я неверно трактовал.
Lambda
Function
Автор вопроса
похоже что вы задали вопрос который я неверно трак...
Да. Меня в данном контексте не волнует как хранить секреты, есть разные сервисы для этого. Вопрос в том можно ли это секреты передать при деплое. Обычное использование хашикорп предполагает что после того как я введу мастер ключ на сервере хранилище разблокируется и сервер сможет уже обращаться к хранилищу без каких-то ограничений, что небезопасно. Я же задумал сделать сервер который не имеет доступа к хранилищу. Админ по своей инициативе передаёт ключи серверу. Сам сервер не может их забрать
Да. Меня в данном контексте не волнует как хранить...
почему это без ограничений? У волта есть политики. Более того, если смотреть на всякие операторы итп вещи, то там необходимые тебе секреты вообще передаются в аннотациях к приложению и загружаются инит-контейнером
Lambda
Function
Автор вопроса
почему это без ограничений? У волта есть политики....
Можно ссылку на док где такое обьясняется?
Есть такое понятие как "секреты", это логин и паро...
Не сильно-то это и сложно gcore и strings прекрасно позволяют читать из памяти все строки без больших усилий
Lambda
Function
Автор вопроса
Не сильно-то это и сложно gcore и strings прекрасн...
gcore требует sudo
Можно ссылку на док где такое обьясняется?
Доклад Тинькова про vault и kubernetes
Похожие вопросы
Обсуждают сегодня