从安全性、便捷性和可维护性三个方面分析Ansible登录凭证的选择问题:
1、安全性
预分发公钥到目标服务器
优点和缺点都是一样的,即目标环境的安全性取决于ansible所在宿主机的安全性。宿主机一旦被攻破,则全环境都沦陷。但假设我们可以保证宿主机的安全,则目标环境的口令设置上就可以有相当高的自由度,甚至可以完全随机获得极高强度的口令,而不用考虑口令记录和存储的问题。宿主机的安全加固目标小,也容易得多。
使用用户名+口令ssh登录
必须有地方存储目标环境的登录信息,且口令须明文存储或传输。这个存储媒介可以是文件,可以是数据库,也可以是第三方的某个服务。 这种方法缺点与预分发公钥是一样的,如果口令存储媒介泄露或被攻破,或被通过监听网络通讯窃取,整个目标环境离被攻破就仅差一步了:找到并攻破一台与目标环境连通的主机。这种方法并没有预分发公钥的优点:如果攻击者获得了明文口令,则可以通过任何一台与目标环境连通的主机登录目标环境。当然,我们可以通过其他手段来进行安全加固,例如在口令传输过程中加密,甚至一次一密的传输,不过这样做的代价显得略高。
安全性上,预分发公钥方案胜出
2、便捷性
预分发公钥到目标服务器
在使用前需要有分发公钥的步骤
使用用户名+口令ssh登录
无需额外的操作,但需要在ansible宿主机上安装sshpass(很简单)
便捷性上,用户名+口令方案胜出
3、可维护性
预分发公钥到目标服务器
只要ansible宿主机不重新生成密钥对,目标主机不删除已分发的秘钥,则无需额外的维护步骤
使用用户名+口令ssh登录
考虑到可能的口令变更,本方案需要额外的维护成本。一旦登录口令被(环境使用方而非管理方)修改,则原有的凭证失效
可维护性上, 尤其是目标环境达到一定规模之后,预分发公钥可维护性上的优势是十分明显的,预分发公钥方案胜出
总结:从以上三点出发几经考虑,选择预分发公钥的方案更优。
1343
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
