给Salt-Master添加增强版的白名单功能

最新推荐文章于 2024-09-14 09:16:55 发布
最新推荐文章于 2024-09-14 09:16:55 发布
阅读量155 收藏
点赞数
文章标签: git 开发工具 python
原文链接:https://my.oschina.net/fmnisme/blog/542808
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

测试环境: salt 2015.8

##问题 现有的salt-minion有个disable_modules功能,用来禁用指定模块,简单粗暴, 不过远远不能满足需求,例如管理员常用的cmd.run功能,禁用了影响使用体验, 不禁用如果不小心输入个cmd.run 'rm / -rf',那也是不行的。

##解决方案 创建白名单功能,例如管理员运行cmd.run,只允许运行指定白名单中的命令如cmd.run 'echo 123', 这个时候如果我想运行cmd.run 'rm / -rf'则直接报错。

##设计

  • 在master端过滤命令
  • 使用git ext_pillar存放白名单,如果你愿意,可以改成其他的。
  • 使用正则表达式匹配命令与参数

pillar样例:

whitelist:
  cmd.run.*:
    - 'echo 1.*'

##具体实现 参考whitelist模块,源码在: http://git.oschina.net/fmnisme/salt-whitelist

白名单系统值检查只检查在whitelist.check_fun_map中的fun,其它命令都是放行的.

目前只实现了cmd.run.*命令的过滤,如有其它需求,需要自己实现。

##安装 我的是ubuntu系统,salt安装在/usr/lib/python2.7/dist-packages/salt

  1. whitelist模块拷贝到salt安装目录

  2. 修改salt/master模块

    修改Master.publish方法,在self._send_pub(payload)替换为如下代码:

    	# whitelist
from salt.exceptions import SaltCacheError
from salt.whitelist import check as whitelist_check
# set git_pillar module
from salt.pillar import git_pillar
setattr(git_pillar, "__opts__", self.opts)
setattr(git_pillar, "__grains__", {})
git_repo = [x.values()[0] for x in self.opts.get("ext_pillar", {}) if x.keys()[0] == "git"][0]
# check
filtered_minions = []
for minion in minions:
    pillar_data = git_pillar.ext_pillar(minion, git_repo, None)
    check_whitelist_ret = whitelist_check(payload, pillar_data)
    if check_whitelist_ret:
        try:
            load = {
                'fun_args': payload["arg"],
                'jid': payload["jid"],
                'return': check_whitelist_ret,
                'success': False,
                'cmd': '_return',
                'fun': payload["fun"],
                'id': minion
            }
            salt.utils.job.store_job(self.opts, load, event=self.event, mminion=self.mminion)
        except SaltCacheError:
            log.error('Could not store job information for load: {0}'.format(check_whitelist_ret))
    else:
        filtered_minions.append(minion)
# send message to filtered_minions
if filtered_minions:
    # convert `tgt_type` from whatever to `list`
    tgt_list = ",".join(filtered_minions)
    payload["tgt_type"] = "list"
    payload["tgt"] = tgt_list
    # Send it!
    self._send_pub(payload)

    效果如下图:

    输入图片说明

  3. 修改/etc/salt/master

    	ext_pillar:
	  - git:
	    - master https://your-repo.git:
	      - user: USERNAME
	      - password: PASSWORD

	git_pillar_provider: pygit2
	git_pillar_root: salt/_pillars
	git_pillar_base: master

  4. 安装pygit2

    salt目前不支持libgit2-v0.23.2,这里安装v0.23.1

    	wget https://github.com/libgit2/libgit2/archive/v0.23.1.tar.gz
	tar xzf v0.23.1.tar.gz
	cd libgit2-0.23.1/
	cmake .
	make
	make install 
	ldconfig

	# 使用豆瓣pip源
	pip install  -i http://pypi.douban.com/simple  pygit2"==0.23.1"

  5. 重启salt-master

    service salt-master restart

  6. 在git中配置pillar

    	# vim salt/_pillars/top.sls

	base:
	  '*':
	    - whitelist

    	# vim salt/_pillars/whitelist.sls

	whitelist:
	  cmd.run.*:		#module匹配支持正则
	    - 'echo 1.*'	#cmd支持正则

    等待salt同步git同步就可以测试了,因为是在master端,所以不用执行salt '*' saltutil.pillar_refresh

##测试

salt '*39*' cmd.run  'echo 111'
192.168.19.39:
    111
    
salt '*39*' cmd.run  'echo 000'
192.168.19.39:
    'cmd.run' is not in whitelist. arg: ['echo 000']
ERROR: Minions returned with non-zero exit code

#不在whitelist.check_fun_map中的模块则放行。
salt '*39*' test.ping
192.168.19.39:
    True

转载于:https://my.oschina.net/fmnisme/blog/542808

weixin_34179968
关注
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 882
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
乱的笔记
weixin_34357962的博客
03-22 1万+
链接:https://pan.baidu.com/s/1jBlX2OoWALMaLuMkx21H7w 提取码:mzl4 复制这段内容后打开百度网盘手机App,操作更方便哦如果看的不舒服可以上百度网盘下载完整的 第二本书 一、Linux基本命令1.基础命令 vi /etc/sysconfig/network-scripts/ifcfg-ens32DNBBOT=NO改成DNBBOT=YES//...
salt cmd.run 禁用命令
cuique7070的博客
11-01 450
> vim salt/utils/args.py # ++ def valid_cmd_arg(args): ''' Valid cmd arg ''' # 禁用包含的...
Salt2019.2.0 Release Notes (Codename Fluorine) 新版本功能特性
watermelonbig的专栏
03-14 1359
SaltStack是基础设施管理的革命性方法,能够以速度取代复杂性。 SaltStack足够简单,可以在几分钟内运行,可扩展到足以管理数以万计的服务器,并且速度足以在几秒钟内与每个系统进行通信。从服务器、网络设备到一些行业领域的专有设备,从Linux、Unix、Windos到十几种主流的行业领域专有os类型,SaltStack有出色的兼容性,很多场景下可以允许你以相同方式的命令管理众多异构的设备设...
SaltStack ACCESS CONTROL SYSTEM - Salt服务访问控制系统使用指南
watermelonbig的专栏
04-19 788
Salt维护一个标准系统,用于向非管理员用户开放细粒度的权限控制以执行一些Salt命令。 访问控制系统已应用于所有用于配置Salt中非管理员控制接口的访问权限的系统。 现在,在使用external auth 和 publisher ACLs的情况下,可以对于特定的minions,让特定用户可以打开特定的功能。在peer系统的情况下也适用。 这些接口包括peer系统,external auth系统和...
SaltStack 学习笔记 - 第二篇: Salt-master配置文件详解
weixin_33807284的博客
06-09 326
转自(coocla):http://blog.coocla.org/301.html原本想要重新翻译salt-master的配置文件,但发现作者的这篇博文说得非常好,也挺清楚,所以有关salt-mater的配置,喜欢的朋友可以参考上面的博文建议把这篇文章作为配置参考查询,不需要详细阅读----------------------------------------------...
saltstack安装部署与入门使用
weixin_34248118的博客
09-20 126
一、saltstack简介 SaltStack 一种基于 C/S 架构的服务器基础架构集中化管理平台,管理端称为 Master,客户端称为 Minion。SaltStack 具备配置管理、远程执行、监控等功能,一般可以理解为是简化版的 Puppet 和加强版的 Func。SaltStack 本身是基于 Python 语言开发实现,结合了轻量级的消息队列软件 ZeroM...
Linux-4.4-x86_64 内核配置选项简介
huihuiwith的博客
06-29 2898
Linux-4.4-x86_64 内核配置选项简介作者:金步国64-bit kernelCONFIG_64BIT编译64位内核.本文仅讲述x86_64(AMD64)平台的内核编译,所以这个是必选项.General setup常规设置Cross-compiler tool prefixCONFIG_CROSS_COMPILE交叉编译工具前缀(比如"arm-linux-"相当于使用"make CROS...
Java学习(中)
Lzdnydppx的博客
08-11 811
正则表达式、加密与安全、多线程、Maven基础、网络编程、XML与JSON、JDBC编程、函数式编程、设计模式
PHP 面试知识点整理归纳
热门推荐
PHP学习日志——地雷
09-05 1万+
全文已整理补充完毕,以后还会继续更新文章里面的错误,以及补充尚不完善的问题。 该篇文章是针对Github上wudi/PHP-Interview-Best-Practices-in-China资源的答案个人整理 lz也是初学者,以下知识点均为自己整理且保持不断更新,也希望各路大神多多指点,若发现错误或有补充,可直接comment,lz时刻关注着。 由于内容比较多,没有直接目录,请自行对照 Gi...
《后端架构师技术图谱》
weixin_70730532的博客
06-15 787
(Toc generated by simple-php-github-toc )《java队列——queue详细分析》《LinkedList、ConcurrentLinkedQueue、LinkedBlockingQueue对比分析》每个节点最多有两个叶子节点。左右两个子树的高度差的绝对值不超过1,并且左右两个子树都是一棵平衡二叉树。二叉查找树(Binary Search Tree),也称有序二叉树(ordered binary tree),排序二叉树(sorted binary tree)。MySQL是
最新版Android Studio V2.2.2版本[Android Studio v2.2.2 (October 2016)]分享
每一天都有新的希望
10-28 7436
最新版Android Studio V2.2.2版本分享 最新版Android Studio V2.2.2版本百度云下载:http://pan.baidu.com/s/1kVsGZkV
SaltStack从2017.7升级为2019.2版本的升级操作指南
watermelonbig的专栏
08-29 4909
文章目录背景概况升级前的准备工作操作步骤将salt-repo yum安装源升级为 salt-repo-2019.2 版本执行升级salt-master软件包版本的命令检查下安装成果替换salt master使用的配置文件在Salt Master节点上对主要功能做些测试升级下Salt周围边的相关软件包将salt-minion升级至2019.2版本的方法在salt minion节点上执行版本升级命令更...
Github 2024-09-12 Go开源项目日报Top10
老孙正经胡说
09-12 506
创建周期:1890 天开发语言:Go协议类型:Apache License 2.0Star数量:2892 个Fork数量:2266 次关注人数:2892 人贡献人数:414 人Open Issues数量:876 个Github地址:https://github.com/open-telemetry/opentelemetry-collector-contrib.git项目首页: https://opentelemetry.io。
git-describe获取不到新创建的标签
Winter_Sun灬的博客
09-11 262
git-describe获取不到新创建的标签
git
最新发布
qq_41751728的博客
09-14 304
请注意,git format-patch默认会为每个提交生成一个patch文件,但是通过使用–stdout选项,你可以将所有更改合并到一个文件中。这个命令会为每个提交生成一个patch文件。这种方法允许你精确控制哪些文件的更改被包含在patch中,非常适合在需要将特定文件的更改合并到一个patch文件中时使用。记住,生成的patch文件包含了提交的元数据,如作者、日期等,这有助于接收者更好地理解patch的上下文。这会将从HEAD~3到HEAD的更改合并到一个名为my_patch.patch的文件中。
git gc
qq_41505080的博客
09-14 508
丢弃的提交对象是指那些不再被任何分支或标签引用的提交。它们可以通过删除分支、重置提交、合并或变基操作等方式产生。Git 使用垃圾回收(git gc)来处理这些丢弃的对象,通过标记、清理和压缩来优化存储空间。通过适当的垃圾回收和prune设置,可以有效地管理这些丢弃的提交对象。被reflog引用的提交不会被认为是垃圾。reflog记录了分支和其他引用的操作历史,这些记录有助于恢复丢失的提交。垃圾回收(git gc)会考虑reflog中的条目来决定哪些对象仍然被引用,并且只有在reflog。
yum安装salt-master
05-12
可以通过以下步骤在 CentOS 或者 RHEL 系统上使用 yum 安装 salt-master: 1. 执行以下命令,添加 SaltStack 的官方 yum 源: ``` sudo curl -fsSL https://repo.saltstack.com/py3/redhat/salt-py3-repo-latest.el7.noarch.rpm -o salt-py3-repo-latest.el7.noarch.rpm sudo yum install salt-py3-repo-latest.el7.noarch.rpm ``` 2. 执行以下命令,更新 yum 缓存: ``` sudo yum clean expire-cache ``` 3. 执行以下命令,安装 salt-master: ``` sudo yum install salt-master ``` 安装完成后,即可启动 salt-master 服务: ``` sudo systemctl start salt-master ``` 如果需要开机自启动,可以执行以下命令: ``` sudo systemctl enable salt-master ``` 注意,以上操作需要 root 权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值