HARDENING SALT

本主题包含可用于保护和强化Salt环境的配置提示。 如何最好地保护和加强你的Salt环境在很大程度上取决于你如何使用Salt、在哪里使用Salt、你的团队结构、从何处获取数据以及你需要什么类型的访问（内部和外部）。

GENERAL HARDENING TIPS 一般安全加固技巧

限制谁可以直接登录你的Salt master系统。使用通过密码短语保护的SSH密钥访问Salt master系统。跟踪和保护你或你的团队访问Salt master系统所需的SSH密钥和任何其他登录凭据。使用强化堡垒机或VPN以限制从Internet直接访问Salt master。不要将Salt master暴露在需要服务的范围之外。像对待任何高优先级目标一样强化系统。保持系统修补和最新。使用严密的防火墙规则。

SALT HARDENING TIPS Salt安全加固技巧

订阅salt-users或salt-announce，以便了解新的Salt版本何时可用。使用最新的补丁使系统保持最新状态。使用Salt的客户端ACL系统，以避免必须放弃root访问权限才能运行Salt命令。使用Salt的客户端ACL系统来限制哪些用户可以运行哪些命令。使用外部Pillar将数据从外部源提取到Salt中，以便非系统管理员（其他团队，如初级管理员、开发人员等）不需要登录Salt master，就也可以提供配置数据。大量使用受版本控制的SLS文件，并在生产环境中部署和运行之前进行同行评审/代码审查流程。即使对于那些“一次性”的CLI命令，这也是一个很好的建议，因为它有助于缓解错别字和其他错误。如果需要将Salt master服务器公开给外部服务，请使用salt-api、SSL并限制必须使用外部auth系统进行身份验证。利用Salt的事件系统和reactor，允许minions向Salt master发送信号，而无需直接访问。以非root用户身份运行salt-master守护程序。使用disable_modules设置禁用将哪些模块加载到minions上。 （例如，如果在你的环境中有管理意义，请禁用cmd模块。）查看有完整注释说明的配置文件示例，master和minion配置文件。其中有很多配置项可以发挥某些方面的保护作用。在特别敏感的minions上运行masterless-mode minions。如果你需要进一步限制一个minion，还有Salt SSH或modules.sudo。

SECURITY DISCLOSURE POLICY 安全披露政策

email

security@saltstack.com

gpg key ID

4EA0793D

gpg key fingerprint

8ABE 4EFC F0F4 B24B FF2A AF90 D570 F2D3 4EA0 793D

gpg public key:

-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG/MacGPG2 v2.0.22 (Darwin) mQINBFO15mMBEADa3CfQwk5ED9wAQ8fFDku277CegG3U1hVGdcxqKNvucblwoKCb hRK6u9ihgaO9V9duV2glwgjytiBI/z6lyWqdaD37YXG/gTL+9Md+qdSDeaOa/9eg 7y+g4P+FvU9HWUlujRVlofUn5Dj/IZgUywbxwEybutuzvvFVTzsn+DFVwTH34Qoh QIuNzQCSEz3Lhh8zq9LqkNy91ZZQO1ZIUrypafspH6GBHHcE8msBFgYiNBnVcUFH u0r4j1Rav+621EtD5GZsOt05+NJI8pkaC/dDKjURcuiV6bhmeSpNzLaXUhwx6f29 Vhag5JhVGGNQxlRTxNEM86HEFp+4zJQ8m/wRDrGX5IAHsdESdhP+ljDVlAAX/ttP /Ucl2fgpTnDKVHOA00E515Q87ZHv6awJ3GL1veqi8zfsLaag7rw1TuuHyGLOPkDt t5PAjsS9R3KI7pGnhqI6bTOi591odUdgzUhZChWUUX1VStiIDi2jCvyoOOLMOGS5 AEYXuWYP7KgujZCDRaTNqRDdgPd93Mh9JI8UmkzXDUgijdzVpzPjYgFaWtyK8lsc Fizqe3/Yzf9RCVX/lmRbiEH+ql/zSxcWlBQd17PKaL+TisQFXcmQzccYgAxFbj2r QHp5ABEu9YjFme2Jzun7Mv9V4qo3JF5dmnUk31yupZeAOGZkirIsaWC3hwARAQAB tDBTYWx0U3RhY2sgU2VjdXJpdHkgVGVhbSA8c2VjdXJpdHlAc2FsdHN0YWNrLmNv bT6JAj4EEwECACgFAlO15mMCGwMFCQeGH4AGCwkIBwMCBhUIAgkKCwQWAgMBAh4B AheAAAoJENVw8tNOoHk9z/MP/2vzY27fmVxU5X8joiiturjlgEqQw41IYEmWv1Bw 4WVXYCHP1yu/1MC1uuvOmOd5BlI8YO2C2oyW7d1B0NorguPtz55b7jabCElekVCh h/H4ZVThiwqgPpthRv/2npXjIm7SLSs/kuaXo6Qy2JpszwDVFw+xCRVL0tH9KJxz HuNBeVq7abWD5fzIWkmGM9hicG/R2D0RIlco1Q0VNKy8klG+pOFOW886KnwkSPc7 JUYp1oUlHsSlhTmkLEG54cyVzrTP/XuZuyMTdtyTc3mfgW0adneAL6MARtC5UB/h q+v9dqMf4iD3wY6ctu8KWE8Vo5MUEsNNO9EA2dUR88LwFZ3ZnnXdQkizgR/Aa515 dm17vlNkSoomYCo84eN7GOTfxWcq+iXYSWcKWT4X+h/ra+LmNndQWQBRebVUtbKE ZDwKmiQz/5LY5EhlWcuU4lVmMSFpWXt5FR/PtzgTdZAo9QKkBjcv97LYbXvsPI69 El1BLAg+m+1UpE1L7zJT1il6PqVyEFAWBxW46wXCCkGssFsvz2yRp0PDX8A6u4yq rTkt09uYht1is61joLDJ/kq3+6k8gJWkDOW+2NMrmf+/qcdYCMYXmrtOpg/wF27W GMNAkbdyzgeX/MbUBCGCMdzhevRuivOI5bu4vT5s3KdshG+yhzV45bapKRd5VN+1 mZRquQINBFO15mMBEAC5UuLii9ZLz6qHfIJp35IOW9U8SOf7QFhzXR7NZ3DmJsd3 f6Nb/habQFIHjm3K9wbpj+FvaW2oWRlFVvYdzjUq6c82GUUjW1dnqgUvFwdmM835 1n0YQ2TonmyaF882RvsRZrbJ65uvy7SQxlouXaAYOdqwLsPxBEOyOnMPSktW5V2U IWyxsNP3sADchWIGq9p5D3Y/loyIMsS1dj+TjoQZOKSj7CuRT98+8yhGAY8YBEXu 9r3I9o6mDkuPpAljuMc8r09Im6az2egtK/szKt4Hy1bpSSBZU4W/XR7XwQNywmb3 wxjmYT6Od3Mwj0jtzc3gQiH8hcEy3+BO+NNmyzFVyIwOLziwjmEcw62S57wYKUVn HD2nglMsQa8Ve0e6ABBMEY7zGEGStva59rfgeh0jUMJiccGiUDTMs0tdkC6knYKb u/fdRqNYFoNuDcSeLEw4DdCuP01l2W4yY+fiK6hAcL25amjzc+yYo9eaaqTn6RAT bzdhHQZdpAMxY+vNT0+NhP1Zo5gYBMR65Zp/VhFsf67ijb03FUtdw9N8dHwiR2m8 vVA8kO/gCD6wS2p9RdXqrJ9JhnHYWjiVuXR+f755ZAndyQfRtowMdQIoiXuJEXYw 6XN+/BX81gJaynJYc0uw0MnxWQX+A5m8HqEsbIFUXBYXPgbwXTm7c4IHGgXXdwAR AQABiQIlBBgBAgAPBQJTteZjAhsMBQkHhh+AAAoJENVw8tNOoHk91rcQAIhxLv4g duF/J1Cyf6Wixz4rqslBQ7DgNztdIUMjCThg3eB6pvIzY5d3DNROmwU5JvGP1rEw hNiJhgBDFaB0J/y28uSci+orhKDTHb/cn30IxfuAuqrv9dujvmlgM7JUswOtLZhs 5FYGa6v1RORRWhUx2PQsF6ORg22QAaagc7OlaO3BXBoiE/FWsnEQCUsc7GnnPqi7 um45OJl/pJntsBUKvivEU20fj7j1UpjmeWz56NcjXoKtEvGh99gM5W2nSMLE3aPw vcKhS4yRyLjOe19NfYbtID8m8oshUDji0XjQ1z5NdGcf2V1YNGHU5xyK6zwyGxgV xZqaWnbhDTu1UnYBna8BiUobkuqclb4T9k2WjbrUSmTwKixokCOirFDZvqISkgmN r6/g3w2TRi11/LtbUciF0FN2pd7rj5mWrOBPEFYJmrB6SQeswWNhr5RIsXrQd/Ho zvNm0HnUNEe6w5YBfA6sXQy8B0Zs6pcgLogkFB15TuHIIIpxIsVRv5z8SlEnB7HQ Io9hZT58yjhekJuzVQB9loU0C/W0lzci/pXTt6fd9puYQe1DG37pSifRG6kfHxrR if6nRyrfdTlawqbqdkoqFDmEybAM9/hv3BqriGahGGH/hgplNQbYoXfNwYMYaHuB aSkJvrOQW8bpuAzgVyd7TyNFv+t1kLlfaRYJ =wBTJ -----END PGP PUBLIC KEY BLOCK-----

SaltStack安全团队会及时响应security@saltstack.com邮箱中收到的与安全相关的错误报告或问题。

我们要求以非公开的方式披露任何与安全相关的错误或问题，以便可以解决问题并准备好安全修复版。 条件具备时我们将发布修复程序，并就升级说明和下载位置发布公告。

SECURITY RESPONSE PROCEDURE 安全事件响应流程

SaltStack非常重视安全性和客户及用户的信任。我们的披露政策旨在尽可能快速，安全地解决安全问题。

发送至security@saltstack.com的安全报告将分配给团队成员。此人是问题的主要联系人，将协调修复，发布和公告。报告的问题会得到分析和确认，并列出受影响的项目和发布。针对所有受到支持的受影响项目和版本实施修复。修复程序向后适用于任何仍受到支持的旧版本。问题得到解决后，通过salt-packagers邮件列表通知负责打包的团队，即将发布公告。将创建一个新版本并将其推送到所有受影响的存储库。发行文档中会提供问题的完整描述，以及任何升级说明或其他相关详细信息。向salt-users和salt-announce邮件列表发布公告。该公告包含该问题的说明以及完整版本文档和下载位置的链接。

接收安全通知

收到安全公告通知的最快方式是通过salt-announce邮件列表。