HARDENING SALT

本主题包含可用于保护和强化Salt环境的配置提示。如何最好地保护和加强你的Salt环境在很大程度上取决于你如何使用Salt、在哪里使用Salt、你的团队结构、从何处获取数据以及你需要什么类型的访问（内部和外部）。

GENERAL HARDENING TIPS 一般安全加固技巧

限制谁可以直接登录你的Salt master系统。
使用通过密码短语保护的SSH密钥访问Salt master系统。
跟踪和保护你或你的团队访问Salt master系统所需的SSH密钥和任何其他登录凭据。
使用强化堡垒机或VPN以限制从Internet直接访问Salt master。
不要将Salt master暴露在需要服务的范围之外。
像对待任何高优先级目标一样强化系统。
保持系统修补和最新。
使用严密的防火墙规则。

SALT HARDENING TIPS Salt安全加固技巧

订阅salt-users或salt-announce，以便了解新的Salt版本何时可用。使用最新的补丁使系统保持最新状态。
使用Salt的客户端ACL系统，以避免必须放弃root访问权限才能运行Salt命令。
使用Salt的客户端ACL系统来限制哪些用户可以运行哪些命令。
使用外部Pillar将数据从外部源提取到Salt中，以便非系统管理员（其他团队，如初级管理员、开发人员等）不需要登录Salt master，就也可以提供配置数据。
大量使用受版本控制的SLS文件，并在生产环境中部署和运行之前进行同行评审/代码审查流程。即使对于那些“一次性”的CLI命令，这也是一个很好的建议，因为它有助于缓解错别字和其他错误。
如果需要将Salt master服务器公开给外部服务，请使用salt-api、SSL并限制必须使用外部auth系统进行身份验证。
利用Salt的事件系统和reactor，允许minions向Salt master发送信号，而无需直接访问。
以非root用户身份运行salt-master守护程序。
使用disable_modules设置禁用将哪些模块加载到minions上。（例如，如果在你的环境中有管理意义，请禁用cmd模块。）
查看有完整注释说明的配置文件示例，master和minion配置文件。其中有很多配置项可以发挥某些方面的保护作用。
在特别敏感的minions上运行masterless-mode minions。如果你需要进一步限制一个minion，还有Salt SSH或modules.sudo。

SECURITY DISCLOSURE POLICY 安全披露政策

email

[email protected]

gpg key ID

4EA0793D

gpg key fingerprint

8ABE 4EFC F0F4 B24B FF2A  AF90 D570 F2D3 4EA0 793D

gpg public key:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG/MacGPG2 v2.0.22 (Darwin)
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=wBTJ
-----END PGP PUBLIC KEY BLOCK-----

SaltStack安全团队会及时响应[email protected]邮箱中收到的与安全相关的错误报告或问题。

我们要求以非公开的方式披露任何与安全相关的错误或问题，以便可以解决问题并准备好安全修复版。条件具备时我们将发布修复程序，并就升级说明和下载位置发布公告。

SECURITY RESPONSE PROCEDURE 安全事件响应流程

SaltStack非常重视安全性和客户及用户的信任。我们的披露政策旨在尽可能快速，安全地解决安全问题。

发送至[email protected]的安全报告将分配给团队成员。此人是问题的主要联系人，将协调修复，发布和公告。
报告的问题会得到分析和确认，并列出受影响的项目和发布。
针对所有受到支持的受影响项目和版本实施修复。修复程序向后适用于任何仍受到支持的旧版本。
问题得到解决后，通过salt-packagers邮件列表通知负责打包的团队，即将发布公告。
将创建一个新版本并将其推送到所有受影响的存储库。发行文档中会提供问题的完整描述，以及任何升级说明或其他相关详细信息。
向salt-users和salt-announce邮件列表发布公告。该公告包含该问题的说明以及完整版本文档和下载位置的链接。

接收安全通知

收到安全公告通知的最快方式是通过salt-announce邮件列表。

HARDENING SALT - SaltStack安全加固措施介绍