确保始终遵循针对 SaltStack Config 和 Salt 建议的安全实践,从而助力 SaltStack Config

Salt 安全性

请查阅以下指南,以确保在基础架构中实施 Salt 时您的环境遵循最佳做法:

不活动时自动注销

可以将自动注销设置为低至 1 分钟,长至 60 分钟。默认情况下,设置为 30 分钟。有关修改此项和其他首选项的详细信息,请参见 SaltStack Config 用户界面

权限

确保限制对以下任务的访问权限。有关定义权限的详细信息,请参见角色和权限

作业创建和编辑

限制用户对创建和编辑作业的访问权限。这些特权允许用户在系统中运行任何命令。这些权限与目标创建和编辑权限结合运用,使用户能够在任何工作节点上运行任何命令。

目标创建和编辑

限制用户对创建和编辑目标的访问权限。这些特权与作业创建和编辑权限结合运用,使用户能够在系统中的任何工作节点上运行可用作业。

角色创建和编辑

限制用户对创建和编辑角色的访问权限。这些特权使用户能够为自己分配系统中的任何特权。

加密凭据

API (RaaS) 访问凭据

通过公钥身份验证(默认),而不是通过用户名身份验证,将 Salt 主节点连接到 API (RaaS)。

数据库凭据

将 PostgreSQL 和 Redis 的数据库凭据存储在加密文件中,而不是以纯文本形式存储。

有关凭据存储的详细信息,请参见在配置中保护凭据安全