Я работаю в компании, и многие сотрудники имеют доступ к нашему серверу sensu. В файле /etc/sensu/conf.d у нас есть json-файлы, содержащие команды для выполнения наших проверок. однако некоторые из этих команд содержат конфиденциальную информацию, которую я не хочу видеть другим пользователям. что было бы лучшим способом скрыть информацию в командах?Скрытие информации sensu от команд
Если у людей есть доступ к вашему серверу sensu, а не к клиентам, вы можете передавать пароли в качестве клиентского настраиваемого параметра. Таким образом, они будут сохранены в клиентском файле конфигурации на клиенте и не будут отображаться на сервере.
я могу думать о 3-х решениях:
Вы должны добавить секретное управление в чеки. Обычно это включает в себя создание секретного программного обеспечения управления, такого как Vault, для управления доступом к секретам через API. Это сохраняет все секреты с серверов.
Используется другая используемая нами техника: Chef Encrypted Data Bags. Это приведет ваши секреты к серверу, но они более безопасны, чем их контроль версий.
Самое простое решение - просто заблокировать каталоги на сервере и сохранить их в виде простого текста.
Могут ли они получить доступ к папкам как пользователю root или sensu? В противном случае просто изменить разрешение на папку sensu, чтобы только sensu (и root) мог открыть и прочитать его. (У вас уже должна быть такая настройка, если у вас есть какие-либо охранники безопасности в вашей компании) – Kobbe