Utilice estas prácticas recomendadas y directrices de seguridad al implementar SaltStack Config y Salt en el entorno.
Seguridad de Salt
Consulte estas guías para asegurarse de que el entorno siga las prácticas recomendadas al implementar Salt en su infraestructura:
Cierre de sesión automático si el estado es inactivo
Puede establecer el cierre de sesión automático en 1 minuto como mínimo y 60 minutos como máximo. Este ajuste se establece en 30 minutos de forma predeterminada. Para obtener más información sobre la modificación de esta y otras preferencias, consulte Terminología de SaltStack Config.
Permisos
Asegúrese de limitar el acceso a las siguientes tareas. Para obtener más información sobre cómo definir permisos, consulte Cómo definir las funciones de usuario.
Creación y edición de trabajos
Limite el acceso de los usuarios a la creación y la edición de trabajos. Estos privilegios permiten que un usuario ejecute cualquier comando en el sistema. Junto con el permiso de creación y edición de destinos, un usuario puede ejecutar cualquier comando en cualquier minion.
Creación y edición de destinos
Limite el acceso de los usuarios a la creación y la edición de destinos. Estos privilegios, junto con el permiso de creación y edición de trabajos, permiten a los usuarios ejecutar los trabajos disponibles en cualquier minion del sistema.
Creación y edición de funciones
Limite el acceso de los usuarios a la creación y la edición de funciones. Estos privilegios permiten que un usuario se asigne cualquier privilegio en el sistema.
Credenciales cifradas
Credenciales de acceso a la API (RaaS)
Conecte los maestros de Salt a la API (RaaS) a través de la autenticación de claves públicas (opción predeterminada), en lugar de a través de la autenticación de nombres de usuario.
Credenciales de base de datos
Almacene las credenciales de base de datos para PostgreSQL y Redis en un archivo cifrado, en lugar de en texto sin formato.
Para obtener más información sobre el almacenamiento de credenciales, consulte Proteger credenciales en la configuración.