Безопасность Salt

Ознакомьтесь со следующими руководствами и убедитесь, что при реализации Salt в инфраструктуре среда соответствует передовым практикам.

• Передовые практики для Salt
• Руководство по аппаратной защите Salt

Автоматический выход из системы в случае бездействия

Для автоматического выхода из системы можно указать значение от 1 до 60 минут. По умолчанию устанавливается значение 30 минут. Дополнительные сведения об изменении этого и прочих параметров см. в разделе Пользовательский интерфейс SaltStack Config.

Разрешения

Убедитесь, что вы ограничили доступ к следующим задачам. Дополнительные сведения о настройке разрешений см. в разделе Роли и разрешения.

Создание и редактирование заданий

Позволяет пользователю создавать и редактировать задания. Благодаря таким правам пользователь может выполнять любую команду в системе. Вместе с разрешением на создание и редактирование целевых объектов они позволяют пользователю выполнять любую команду на любом служебном сервере.

Создание и редактирование целевых объектов

Позволяет пользователю создавать и редактировать целевые объекты. Такие разрешения вместе с разрешением на создание и редактирование заданий позволяют пользователю выполнять доступные задания на любом служебном сервере в системе.

Создание и редактирование ролей

Позволяет пользователю создавать и редактировать роли. Такие разрешения позволяют пользователю назначать себе любые привилегии в системе.

Зашифрованные учетные данные

Учетные данные для доступа к API-интерфейсу (RaaS)

Позволяет подключить главные серверы Salt к API-интерфейсу (RaaS) путем проверки подлинности с помощью открытых ключей (значение по умолчанию) вместо проверки подлинности по имени пользователя.

Учетные данные базы данных

Обеспечивает хранение учетных данных базы данных как для PostgreSQL, так и для Redis в зашифрованном файле, а не в текстовом виде.

Дополнительные сведения о хранилище учетных данных см. в разделе Защита учетных данных в конфигурации.