Utilizzo delle procedure consigliate e delle linee guida sulla sicurezza

Attenersi alle procedure consigliate e alle linee guida sulla sicurezza quando si distribuiscono SaltStack Config e Salt nel proprio ambiente.

Sicurezza di Salt

Consultare queste guide per assicurarsi che nell'ambiente vengano eseguite le seguenti procedure consigliate durante l'implementazione di Salt nell'infrastruttura:

Disconnessione automatica se inattivo

È possibile impostare la disconnessione automatica su un valore basso, ad esempio 1 minuto, fino a 60 minuti. Il valore predefinito è 30 minuti. Per ulteriori informazioni sulla modifica di questa e di altre preferenze, vedere Terminologia di SaltStack Config.

Autorizzazioni

Assicurarsi di limitare l'accesso alle seguenti attività. Per ulteriori informazioni sulla definizione delle autorizzazioni, vedere Come definire i ruoli utente.

Creazione e modifica dei processi

Consente di limitare l'accesso degli utenti alla creazione e alla modifica dei processi. Questi privilegi consentono all'utente di eseguire qualsiasi comando nel sistema. Insieme alle autorizzazioni di creazione e modifica delle destinazioni, consentono di eseguire qualsiasi comando su qualsiasi minion.

Creazione e modifica delle destinazioni

Consente di limitare l'accesso degli utenti alla creazione e alla modifica delle destinazioni. Questi privilegi, insieme all'autorizzazione di creazione e modifica dei processi, consentono di eseguire i processi disponibili in qualsiasi minion nel sistema.

Creazione e modifica dei ruoli

Consente di limitare l'accesso degli utenti alla creazione e alla modifica dei ruoli. Questi privilegi consentono di assegnare a se stessi qualsiasi privilegio nel sistema.

Credenziali crittografate

Credenziali di accesso API (RaaS)

Consentono di connettere i Salt Master all'API (RaaS) tramite l'autenticazione con chiave pubblica (predefinita), anziché mediante l'autenticazione tramite nome utente.

Credenziali del database

Consente di archiviare le credenziali del database sia per PostgreSQL che per Redis in un file crittografato, anziché in testo normale.

Per ulteriori informazioni sull'archiviazione delle credenziali, vedere Protezione delle credenziali nella configurazione.