Utilisation des meilleures pratiques et des directives de sécurité

Utilisez les meilleures pratiques et directives de sécurité recommandées lors du déploiement de SaltStack Config et de Salt dans votre environnement.

Sécurité Salt

Consultez ces guides pour vous assurer que votre environnement applique les meilleures pratiques lors de la mise en œuvre de Salt dans votre infrastructure :

Déconnexion automatique en cas d'inactivité

Vous pouvez définir une déconnexion automatique après une période d'inactivité d'une minute et de jusqu'à 60 minutes. Cette valeur est définie sur 30 minutes par défaut. Pour plus d'informations sur la modification de cette préférence et d'autres préférences, reportez-vous à la section Terminologie de SaltStack Config.

Autorisations

Assurez-vous de limiter l'accès aux tâches suivantes. Pour plus d'informations sur la définition d'autorisations, reportez-vous à la section Définition des rôles d'utilisateur.

Création et modification de tâches

Limitez l'accès des utilisateurs à la création et à la modification de tâches. Ces privilèges permettent à un utilisateur d'exécuter n'importe quelle commande dans le système. Avec l'autorisation de création et de modification de cibles, ils permettent à un utilisateur d'exécuter n'importe quelle commande sur n'importe quel minion.

Création et modification de cibles

Limitez l'accès utilisateur à la création et à la modification de cibles. Ces privilèges, avec l'autorisation Créer et modifier des tâches, permettent à un utilisateur d'exécuter les tâches disponibles sur n'importe quel minion du système.

Création et modification de rôles

Limitez l’accès des utilisateurs à la création et à la modification de rôles. Ces privilèges permettent à un utilisateur de s'attribuer n'importe quel privilège dans le système.

Informations d'identification chiffrées

Informations d'identification d'accès API (RaaS)

Connectez les masters Salt à l'API (RaaS) via l'authentification par clé publique (par défaut) plutôt que via l'authentification par nom d'utilisateur.

Informations d'identification de base de données

Stockez les informations d'identification de base de données pour PostgreSQL et Redis dans un fichier chiffré, plutôt que sous forme de texte simple.

Pour plus d'informations sur le stockage d'informations d'identification, consultez Sécurisation des informations d'identification dans votre configuration.