Управление служебными паролями с помощью Puppet

Я настраиваю свою конфигурацию Bacula в Puppet. Одна вещь, которую я хочу сделать, это убедиться, что каждое поле пароля отличается. Моя текущая мысль состоит в том, чтобы хэшировать имя хоста с секретным значением, которое гарантировало бы, что каждый файловый демон имеет уникальный пароль, и этот пароль может быть записан как в конфигурацию директора, так и на файловый сервер. Я определенно не хочу использовать один универсальный пароль, поскольку это позволит любому, кто может взломать одну машину, получить доступ к любой машине через Bacula.

Есть ли другой способ сделать это, кроме использования хэш-функции для генерации паролей?

Разъяснение:

Это НЕ касается учетных записей пользователей для услуг. Это касается токенов аутентификации (для использования другого термина) в файлах клиент / сервер. Пример фрагмента:

Director {                            # define myself
  Name = <%= hostname $>-dir
  QueryFile = "/etc/bacula/scripts/query.sql"
  WorkingDirectory = "/var/lib/bacula"
  PidDirectory = "/var/run/bacula"
  Maximum Concurrent Jobs = 3
  Password = "<%= somePasswordFunction =>"         # Console password
  Messages = Daemon
}

3 ответа

Я очень доволен своим решением этого. Это скрипт оболочки, вызываемый функцией generate() из манифеста puppet. Пароль для каждого хоста генерируется и сохраняется в простом файле по мере необходимости.

#!/bin/bash
# /etc/puppet/helpers/bacula/getpwd

if [ "$#" -ne 1 ]; then
    echo "Usage: $0 <pwd_name>"
    exit 1
fi

if [ ! -x /usr/bin/pwgen ]; then
    echo "missing pwgen!" >&2
    exit 1
fi

workdir="/etc/puppet/helpers/bacula/"
workfile="$workdir/passwd"
[ ! -r $workfile ] && exit 2
get_name="$1"

# get password from storage
pwd=$(awk -F: -v name="$get_name" '
BEGIN      { r = "NOTFOUND" }
name == $1 { r = $2         }
END        { printf "%s", r }
' "$workfile")

if [ "$pwd" = "NOTFOUND" ]; then
    # generate new password & store it
    len=$((60 + $RANDOM % 9 ))
    pwd=$(/usr/bin/pwgen -s $len 1)

    echo "${get_name}:${pwd}" >> $workfile
fi

# echo password (without new line)
echo -n "$pwd"

Установите pwgen или другой инструмент для генерации пароля, измените переменную workdir для настроек вашей системы, проверьте длину пароля. В файле шаблона назовите это:

Password = <%= scope.function_generate("/etc/puppet/helpers/bacula/getpwd", bacula_dirname) %>

Переменная Puppet bacula_dirname должна быть основана на имени хоста или установлена ​​из extlookup(), например:

$bacula_dirname = "${hostname}-dir"
    $secret = "super special complicated long secure random string"
    $password = sha1("${fqdn}${secret}")
    notify {$password:}

Импортировать $secret из другого файла (возможно, одного кукольного класса, который вы не храните в системе управления версиями), и вот он у вас. Генерация магического пароля.

Пароли можно изменить глобально, изменив $secret или индивидуально в каждой декларации, используя что-то кроме $fqdn,

Альтернативой является настройка чего-либо с помощью extlookup(), чтобы вы могли иметь уникальность для каждой машины, которая не зависит от общего значения.

В нашем случае мы сделали подобные вещи с помощью подобных инструментов, которые нуждались в большей уникальности, чем то, что дало нам хешированное значение с общим секретом.

В site.pp

$extlookup_datadir = "/etc/puppet/manifests/extdata"
$extlookup_precedence = ["hostname/%{hostname}", "common"]

Тогда ваши внешние данные будут выглядеть так:

/etc/puppet/manifests/extdata
                             /common.csv
                             /hostname
                                      /foo.csv

Внутри foo.csv вы бы поместили что-то вроде:

bacula_password,"J()*JF)jj0j20f9j02rj9<whatever>"

Затем в вашем модуле bacula, вы бы сделали

$bacula_password = extlookup('bacula_password')

который вы могли бы затем сослаться в своем шаблоне.

Когда каталог будет оценен, имя хоста "foo" будет найдено первым в приоритете ext, и значение bacula_password будет извлечено оттуда.

Другие вопросы по тегам