Аутентификация Солтмастера против солевых миньонов
Я только начинаю с солью, и мне интересно, как солеварщик проходит проверку подлинности против клиентов. Я знаю, что при подключении миньона мастер должен принять открытый ключ миньона и, следовательно, неавторизованные миньоны не могут подключиться. Но что мешает кому-то притвориться солистом, когда все миньоны подключаются к неправильному серверу и успешно выполняют код и дают полный доступ злоумышленнику?
Конечно миньон соединяется с данным IP-адресом или именем хоста, но это должно быть довольно легко, чтобы...
1 ответ
Без лишних усилий ничто не мешает (сомнительно решительному) злоумышленнику инициировать атаку "человек посередине" во время первого обмена ключами и всех последующих соединений. Это тот же риск, который присущ любому обмену ключами через Интернет.
Вы можете проверить отпечатки пальцев как мастера, так и миньона.
По мастеру: sudo salt-key -F
На миньоне: sudo salt-call --local key.finger
Но тогда вы должны были бы верить, что между вами и рассматриваемой машиной также нет (тщательно продуманного) (устойчивого) человека, который находится в середине атаки между вами и рассматриваемой машиной. Это черепахи все время вниз.
Настоящим параноикам придется предварительно генерировать ключи в автономном режиме (мастер и все миньоны) и надеяться вместе с остальными на то, что их ЦП каким-то образом не скомпрометированы тонкими способами, которые мы еще не обнаружили.
Вы можете проверить, что миньон отказывается подключаться к мастеру, если ключ не совпадает позже. Отключение Соль-Миньон, Бэкап /etc/salt/pki/minion/minion_master.pub, измените его и запустите salt-minion в режиме отладки: sudo salt-minion -l debug