Trong Puppet, tôi sẽ bảo mật biến mật khẩu như thế nào (trong trường hợp này là mật khẩu MySQL)?

Tôi đang sử dụng Puppet để cung cấp cho MySQL một lớp được tham số hóa:

class mysql::server( $password ) {

        package { 'mysql-server': ensure => installed }
        package { 'mysql': ensure => installed }

        service { 'mysqld':
                enable => true,
                ensure => running,
                require => Package['mysql-server'],
        }

        exec { 'set-mysql-password':
                unless => "mysqladmin -uroot -p$password status",
                path => ['/bin', '/usr/bin'],
                command => "mysqladmin -uroot password $password",
                require => Service['mysqld'],
        }
}

Làm thế nào tôi có thể bảo vệ $password? Hiện tại, tôi đã xóa quyền mặc định có thể đọc được khỏi tệp định nghĩa nút và rõ ràng đã cấp puppetquyền đọc qua ACL.

Tôi cho rằng những người khác đã gặp phải một tình huống tương tự vì vậy có lẽ có một thực tiễn tốt hơn.

Khi làm việc với Puppet và MySQL, tôi có xu hướng đặt mật khẩu gốc vào /root/.my.cnf, khóa tệp này và sau đó hạn chế quyền truy cập SSH vào máy chủ cơ sở dữ liệu.

Có, lưu trữ mật khẩu gốc trên máy chủ db trong văn bản rõ ràng không phải là giải pháp an toàn nhất. Tuy nhiên, nếu bạn viết mật khẩu gốc mysql trong tệp này, việc bảo mật tài khoản gốc mysql để cho phép đăng nhập từ localhost sẽ giúp mật khẩu không bị rối và cũng nằm ngoài psbảng danh sách quy trình .

Ngoài ra, nếu ai đó có quyền truy cập root để đọc tệp tại /root/.my.cnf, thì có lẽ họ cũng có quyền truy cập để dừng daemon MySQL cục bộ và khởi động lại daemon mà không cần bảng người dùng để có quyền truy cập ngay vào cơ sở dữ liệu.

Một số người khác có thể chỉ ra một số trình cắm hoặc tương tự sửa lỗi cho tôi, nhưng cách chung để thực hiện điều này là lưu trữ mật khẩu được mã hóa , không phải mật khẩu văn bản đơn giản.

Tuy nhiên, tôi có thể nói với bạn ngay bây giờ, MySQL không cho phép bạn sử dụng mật khẩu được mã hóa - nếu không, đó sẽ là mật khẩu và hàm băm sẽ cho phép bạn đăng nhập bằng mọi cách.

Có rất nhiều "hack" xung quanh cho phép bạn sử dụng các tiện ích của bên thứ ba như Hiera và GPG . Rõ ràng, bạn có thể tự cuộn - nhưng ngay cả danh sách gửi thư của Puppet cũng gợi ý phương pháp này .

Bạn đã không chỉ định người mà bạn đang bảo vệ mật khẩu này. Tôi sẽ giả sử đó là các hệ thống quản trị hệ thống khác hoặc có thể là các nhà phát triển có quyền truy cập vào chủ rối và / hoặc các hộp khách nhưng không cần biết mật khẩu gốc.

Để đặt mật khẩu ban đầu, bạn có thể sử dụng cú pháp này:

GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED BY PASSWORD '*6DF1FC54F0CCD999F55D59D3D88526878230C77C' WITH GRANT OPTION;

Điều này sẽ cho phép bạn lưu trữ một mật khẩu được mã hóa trong cấu hình con rối của bạn thay vì mật khẩu.

Để sử dụng mysqladminvà mysqlứng dụng khách trên dòng lệnh, cách tốt nhất tôi có thể nghĩ đến là thêm một .my.cnftệp vào cấu hình con rối của bạn được triển khai vào thư mục chính của người dùng thích hợp. Các tập tin cả trong chủ rối và trên máy khách phải có quyền truy cập tệp hạn chế, phù hợp.

Có rất nhiều cách xung quanh các quyền của tệp khi bạn thêm con rối vào hỗn hợp (chẳng hạn như viết tệp exec () kéo tệp từ máy khách) nhưng dường như đó là một cải tiến trong việc lưu trữ mật khẩu trong tệp có thể đọc được trên thế giới. Điều này sẽ khó khăn hơn nếu bạn sử dụng một hệ thống phiên bản cho cấu hình con rối của bạn.

Liên kết này gợi ý hai phương pháp: sử dụng các biến môi trường và sử dụng lớp con.

Tôi nghĩ bạn cũng có thể tạo một trình bao bọc đơn giản xung quanh lệnh của bạn mysqladminvà chuyển mật khẩu được mã hóa của bạn cho nó. Trình bao bọc này sau đó sẽ giải mã mật khẩu và chuyển nó đến mysqladmin. Bạn cần bảo vệ trình bao bọc của mình vì nó chứa phần giải mã.

Bạn có thể chọn cách bạn cảm thấy an toàn hơn dựa trên môi trường của bạn và người có quyền truy cập vào hệ thống của bạn.