В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

ru_hashicorp

742 membersпожаловаться на группу
2020 December 11

D

Diana in ru_hashicorp
Сергей
только учти, что это опасно, т.к. с такими правами можно создать себе пользователя с полным sudo, зайти под ним и получить все права, кроме обеспеченных root токеном
ну да, понимаю. Но так хочет начальство =) мне вообще не очень нравится идея честно говоря пользоваться встроенным бекендом :(
источник
14:45пожаловаться#1

D

Diana in ru_hashicorp
особенно в таком виде как поставили задачу...
источник
14:46пожаловаться#2

С

Сергей in ru_hashicorp
Diana
ну да, понимаю. Но так хочет начальство =) мне вообще не очень нравится идея честно говоря пользоваться встроенным бекендом :(
в каком смысле пользоваться встроенным бекендом?
источник
14:46пожаловаться#3

YS

Yura Shutkin (pc) in ru_hashicorp
Сергей
только учти, что это опасно, т.к. с такими правами можно создать себе пользователя с полным sudo, зайти под ним и получить все права, кроме обеспеченных root токеном
Полностью поддерживаю. Поэтому у нас учётки может создавать только бот, и только по конфигам из мастер ветки репозитория.
источник
14:46пожаловаться#4

D

Diana in ru_hashicorp
Сергей
в каком смысле пользоваться встроенным бекендом?
бекендом userpass
источник
14:46пожаловаться#5

С

Сергей in ru_hashicorp
Yura Shutkin (pc)
Полностью поддерживаю. Поэтому у нас учётки может создавать только бот, и только по конфигам из мастер ветки репозитория.
вместо бота мог бы быть плагин, и тогда его токен не покидает волт )
источник
14:47пожаловаться#6

D

Diana in ru_hashicorp
Yura Shutkin (pc)
Полностью поддерживаю. Поэтому у нас учётки может создавать только бот, и только по конфигам из мастер ветки репозитория.
а как контролируется что это именно бот, а не  человек?
источник
14:47пожаловаться#7

YS

Yura Shutkin (pc) in ru_hashicorp
Diana
а как контролируется что это именно бот, а не  человек?
у людей нет таких прав. Ограничения по IP, анализ аудит логов.
источник
14:48пожаловаться#8

YS

Yura Shutkin (pc) in ru_hashicorp
Сергей
вместо бота мог бы быть плагин, и тогда его токен не покидает волт )
Есть пример где прочитать про подобный плагин ?
источник
14:48пожаловаться#9

С

Сергей in ru_hashicorp
Yura Shutkin (pc)
Есть пример где прочитать про подобный плагин ?
Примера нет, но это обыкновенный плагин https://www.vaultproject.io/docs/plugin

Просто в нём внутри вы держите токен, и в волт ходит он сам. Токен можно сделать write-only - писать можно, читать нельзя. Сохранили во внутренний строадж, и оно работает - по внутреннему крону или по внешнему, который дёргает ручку, типа periodic без параметров, чисто на запуск.
источник
14:51пожаловаться#10

С

Сергей in ru_hashicorp
Еслиу вас бот на Go, то 90% кода плагина - это код бота
источник
14:52пожаловаться#11

YS

Yura Shutkin (pc) in ru_hashicorp
Сергей
Примера нет, но это обыкновенный плагин https://www.vaultproject.io/docs/plugin

Просто в нём внутри вы держите токен, и в волт ходит он сам. Токен можно сделать write-only - писать можно, читать нельзя. Сохранили во внутренний строадж, и оно работает - по внутреннему крону или по внешнему, который дёргает ручку, типа periodic без параметров, чисто на запуск.
Наш бот пока не в кубе авторизуется через userpass и это одна из оч малого числа учёток в userpass, всех пользователей-людей пересадили на AD авторизацию.

В кубе используется mutating webhook и типа тоже сложно своровать токен.
Бот простой на питоне, но это не сильно большое отличие от го, т.к. он дёргает шелл команды. Сам бот не умеет в апи волта.
источник
14:55пожаловаться#12

С

Сергей in ru_hashicorp
Yura Shutkin (pc)
Наш бот пока не в кубе авторизуется через userpass и это одна из оч малого числа учёток в userpass, всех пользователей-людей пересадили на AD авторизацию.

В кубе используется mutating webhook и типа тоже сложно своровать токен.
Бот простой на питоне, но это не сильно большое отличие от го, т.к. он дёргает шелл команды. Сам бот не умеет в апи волта.
Тогда вы в впервую очередь рискуете утечкой пароля бота
источник
15:03пожаловаться#13

С

Сергей in ru_hashicorp
А в кубе всегда остаются риски взлома соседних контейнеров, хоста, кубернетеса и т.д.
источник
15:03пожаловаться#14

YS

Yura Shutkin (pc) in ru_hashicorp
Сергей
А в кубе всегда остаются риски взлома соседних контейнеров, хоста, кубернетеса и т.д.
Там чотинько. Отдельный неймспейс, кроме бота ничего не будет, affinity на определённые ноды, ограничения по IP, service account и ещё куча настроек под руководством ИБ
источник
15:06пожаловаться#15

С

Сергей in ru_hashicorp
Yura Shutkin (pc)
Там чотинько. Отдельный неймспейс, кроме бота ничего не будет, affinity на определённые ноды, ограничения по IP, service account и ещё куча настроек под руководством ИБ
все риски, которые я назвал, это снижает, но всё равно оставляет актуальными
источник
15:07пожаловаться#16

YS

Yura Shutkin (pc) in ru_hashicorp
Сергей
все риски, которые я назвал, это снижает, но всё равно оставляет актуальными
100% защиты быть не может. Есть инструкции на подозрение на компроментацию, есть анализ логов и алерты на подозрительную активность.
источник
15:09пожаловаться#17

С

Сергей in ru_hashicorp
Yura Shutkin (pc)
100% защиты быть не может. Есть инструкции на подозрение на компроментацию, есть анализ логов и алерты на подозрительную активность.
Тут уже дело ваше. У нас волт на отдельных серверах, и там же плагины. Поэтому мы для него не думаем про риски k8s вообще. И кажется, мы уже оффтопим.
источник
15:10пожаловаться#18

S

Slvr in ru_hashicorp
Nikolay Zykov
Ты пробовал https://learn.hashicorp.com/tutorials/consul/troubleshooting ?
HashiCorp Learn
Troubleshoot Common Consul Issues | Consul - HashiCorp Learn
Find and fix problems with your Consul datacenter using built-in and external tools.
к сожалению да 🙁 ниечего не помогает. остается руками перетащить кучу полисей, токенов и kv
источник
17:17пожаловаться#19

S

Slvr in ru_hashicorp
ибо гребанные сервисы нельзя из снапшота исключить хех
источник
17:17пожаловаться#20