您好,我正在异地使用厨师设置一组机器。如果其中一台机器被盗,攻击者可以通过拥有chef-validator.pem 对我的chef-server 或其他节点造成什么损害?他们还可以通过厨师获得哪些其他东西?谢谢!
这是最近 Foodfight 节目中讨论的关于管理厨师“秘密”的项目之一。强烈推荐观看:
- http://foodfightshow.org/2013/07/secret-chef.html
刀引导程序操作在初始化新的 Chef 客户端时上传此密钥。拥有此密钥使客户端能够向您的厨师服务器注册自己。这实际上是它唯一的功能,一旦客户端启动并运行,就不再需要验证密钥。
但它可能会被滥用......正如 @cbl 所指出的,如果未经授权的第三方获得此密钥的访问权限,他们可以创建新的客户端,这些客户端可以看到普通客户端可以看到的厨师服务器上的所有内容。理论上,它可以通过向您的厨师服务器发送大量注册请求来发起拒绝服务攻击。
粮食斗争小组推荐了一个简单的解决方案。启用厨师-客户所有节点上的食谱。它包含一个“delete_validation”配方,将删除验证密钥并降低您的风险暴露。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)