Asegúrese de seguir siempre las prácticas de seguridad recomendadas para SaltStack Config y Salt. Esto impulsa a SaltStack Config.

Seguridad de Salt

Consulte estas guías para asegurarse de que el entorno siga las prácticas recomendadas al implementar Salt en su infraestructura:

Cierre de sesión automático si el estado es inactivo

Puede establecer el cierre de sesión automático en 1 minuto como mínimo y 60 minutos como máximo. Este ajuste se establece en 30 minutos de forma predeterminada. Para obtener más información sobre la modificación de esta y otras preferencias, consulte Interfaz de usuario de SaltStack Config.

Permisos

Asegúrese de limitar el acceso a las siguientes tareas. Para obtener más información sobre cómo definir permisos, consulte Funciones y permisos.

Creación y edición de trabajos

Limite el acceso de los usuarios a la creación y la edición de trabajos. Estos privilegios permiten que un usuario ejecute cualquier comando en el sistema. Junto con el permiso de creación y edición de destinos, un usuario puede ejecutar cualquier comando en cualquier minion.

Creación y edición de destinos

Limite el acceso de los usuarios a la creación y la edición de destinos. Estos privilegios, junto con el permiso de creación y edición de trabajos, permiten a los usuarios ejecutar los trabajos disponibles en cualquier minion del sistema.

Creación y edición de funciones

Limite el acceso de los usuarios a la creación y la edición de funciones. Estos privilegios permiten que un usuario se asigne cualquier privilegio en el sistema.

Credenciales cifradas

Credenciales de acceso a la API (RaaS)

Conecte los maestros de Salt a la API (RaaS) a través de la autenticación de claves públicas (opción predeterminada), en lugar de a través de la autenticación de nombres de usuario.

Credenciales de base de datos

Almacene las credenciales de base de datos para PostgreSQL y Redis en un archivo cifrado, en lugar de en texto sin formato.

Para obtener más información sobre el almacenamiento de credenciales, consulte Proteger credenciales en la configuración.