ansible登入凭证的选择

从安全性、便捷性和可维护性三个方面分析Ansible登录凭证的选择问题:
1、安全性
预分发公钥到目标服务器
优点和缺点都是一样的,即目标环境的安全性取决于ansible所在宿主机的安全性。宿主机一旦被攻破,则全环境都沦陷。但假设我们可以保证宿主机的安全,则目标环境的口令设置上就可以有相当高的自由度,甚至可以完全随机获得极高强度的口令,而不用考虑口令记录和存储的问题。宿主机的安全加固目标小,也容易得多。

使用用户名+口令ssh登录

必须有地方存储目标环境的登录信息,且口令须明文存储或传输。这个存储媒介可以是文件,可以是数据库,也可以是第三方的某个服务。 这种方法缺点与预分发公钥是一样的,如果口令存储媒介泄露或被攻破,或被通过监听网络通讯窃取,整个目标环境离被攻破就仅差一步了:找到并攻破一台与目标环境连通的主机。这种方法并没有预分发公钥的优点:如果攻击者获得了明文口令,则可以通过任何一台与目标环境连通的主机登录目标环境。当然,我们可以通过其他手段来进行安全加固,例如在口令传输过程中加密,甚至一次一密的传输,不过这样做的代价显得略高。

安全性上,预分发公钥方案胜出

2、便捷性
预分发公钥到目标服务器
在使用前需要有分发公钥的步骤

使用用户名+口令ssh登录
无需额外的操作,但需要在ansible宿主机上安装sshpass(很简单)
便捷性上,用户名+口令方案胜出

3、可维护性
预分发公钥到目标服务器
只要ansible宿主机不重新生成密钥对,目标主机不删除已分发的秘钥,则无需额外的维护步骤

使用用户名+口令ssh登录
考虑到可能的口令变更,本方案需要额外的维护成本。一旦登录口令被(环境使用方而非管理方)修改,则原有的凭证失效
可维护性上, 尤其是目标环境达到一定规模之后,预分发公钥可维护性上的优势是十分明显的,预分发公钥方案胜出

总结:从以上三点出发几经考虑,选择预分发公钥的方案更优。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weike_1005

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值