论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2013-07-18 20:05 |只看该作者 |倒序浏览

注意：如果很大的公司，上线已经全部交给运维人员，开发人员根本接触不到线上生产机的，可以不用考虑这个问题。

http://www.ansibleworks.com/docs/examples.html

比如这个同样是python编写的集中管理软件ansible。不使用客户端，而是使用ssh-key来管理。
则会发生
$ ansible atlanta -a "/usr/bin/foo" -u username -U otheruser [--ask-sudo-pass]

这里需要用户名和密码。

用户完全可以用这个用户名和密码，来ssh连接，这下就会出现安全漏洞。
比如这个用户可以sudo，那么他玩可以visudo把自己受限制的命令给去掉。

或者直接修改
/etc/pam.d/su 设置成完全可以su - root，而后sudo的日志也不记载这个用户的操作了！

而saltstack，完全有salt命令行执行，不需要用户名和密码。这样就保险些。

文库|博客

vlinx

稍有积蓄

论坛徽章:: 0

2楼 [报告]

发表于 2013-07-19 16:10 |只看该作者

小公司还是用ssh连接方式的好

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

yum2014

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2013-07-20 22:20 |只看该作者

回复 2# vlinx

为啥小公司用ssh的好？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

vlinx

稍有积蓄

论坛徽章:: 0

4楼 [报告]

发表于 2013-07-21 22:35 |只看该作者

管数量小的话用ssh的就好了，量大的话可以使用ZeroMQ。安全漏洞并不是一个小话题，ssh已经是业界标准，ssh连接并无明显漏洞，懂得审计才是长久之策。
SaltStack用到AES加密和证书，C/S构架，相对来说Ansible更加安全和简便。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

yum2014

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2013-07-25 18:34 |只看该作者

vlinx 发表于 2013-07-21 22:35
管数量小的话用ssh的就好了，量大的话可以使用ZeroMQ。安全漏洞并不是一个小话题，ssh已经是业界标准，ssh连 ...

我的意思不是这个层面的。而是

当我部署ansible或者fabric这种软件，我要将生产服务器设置为对cm的master端设置可信。

我的开发人员需要到线上服务器上去调试代码等操作。这样，我需要封装这些操作到cm工具中。

但是如果是用ssh设置可信。那么开发人员，可能会把key文件取下来，到自己的电脑上去ssh连接到生产服务器上。这样就太可怕了。

我说的安全漏洞是这个层面的。。。