請確保始終遵循針對 SaltStack Config 和 Salt 建議的安全性做法,從而支援 SaltStack Config

Salt 安全性

在基礎結構中實作 Salt 時,請參閱這些指南以確保您的環境遵循最佳做法:

非作用中時自動登出

可以將自動登出設定為至少 1 分鐘和至多 60 分鐘。依預設,此設定為 30 分鐘。如需有關修改此項和其他喜好設定的詳細資訊,請參閱〈SaltStack Config 使用者介面〉

權限

請務必限制對下列工作的存取權。如需有關定義權限的詳細資訊,請參閱〈角色和權限〉

工作建立和編輯

限制使用者建立和編輯工作的權限。透過這些權限,使用者能夠在系統中執行任何命令。透過與目標建立和編輯權限相結合,使用者能夠在任何部屬節點上執行任何命令。

目標建立和編輯

限制使用者建立和編輯目標的權限。透過將這些權限與工作建立和編輯權限相結合,使用者能夠在系統中的任何部屬節點上執行可用工作。

角色建立和編輯

限制使用者建立和編輯角色的權限。透過這些權限,使用者能夠在系統中為其指派任何權限。

加密認證

API (RaaS) 存取認證

透過公開金鑰驗證 (預設值) (而非透過使用者名稱驗證) 將 Salt 主節點連線至 API (RaaS)。

資料庫認證

將 PostgreSQL 和 Redis 的資料庫認證儲存在加密檔案中,而不是以純文字形式儲存。

如需有關認證儲存的詳細資訊,請參閱在組態中保護認證