47 votes

wnm avatar

Meilleures pratiques de sécurité pour Ansible

Demandé el 3 de Janvier, 2017
Quand la question a-t-elle été
26164 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je vais introduire Ansible dans mon centre de données et je suis à la recherche de bonnes pratiques de sécurité sur l'emplacement de la machine de contrôle et sur la façon de gérer les clés SSH.

Question 1 : la machine de contrôle

Nous avons bien sûr besoin d'une machine de contrôle. La machine de contrôle a des clés SSH publiques sauvegardées sur elle. Si un attaquant a accès à la machine de contrôle, il a potentiellement accès à l'ensemble du centre de données (ou aux serveurs gérés par Ansible). Est-il donc préférable d'avoir une machine de contrôle dédiée dans le centre de données ou une machine de contrôle à distance (comme mon ordinateur portable connecté à distance au centre de données) ?

Si la meilleure pratique consiste à utiliser mon ordinateur portable (qui pourrait être volé, bien sûr, mais je pourrais avoir mes clés publiques sauvegardées en toute sécurité en ligne dans le nuage ou hors ligne sur un dispositif crypté portable), que se passe-t-il si j'ai besoin d'utiliser des interfaces web avec Ansible, comme Ansible Tower, Semaphore, Rundeck ou Foreman qui doit être installé sur une machine centralisée dans le centre de données ? Comment la sécuriser et éviter qu'elle ne devienne un "point d'attaque unique" ?

Question 2 : les clés SSH

Supposons que je doive utiliser Ansible pour effectuer certaines tâches qui doivent être exécutées par root (comme l'installation de paquets de logiciels ou quelque chose comme ça). Je pense que la meilleure pratique consiste à ne pas utiliser l'utilisateur root sur les serveurs contrôlés, mais à ajouter un utilisateur normal pour Ansible avec des autorisations sudo. Mais si Ansible a besoin d'effectuer presque toutes les tâches, il doit avoir accès à toutes les commandes via sudo. Quel est donc le meilleur choix ?

  • permet à Ansible d'utiliser l'utilisateur root (avec sa clé publique sauvegardée dans ~/.ssh/authorized_keys
  • créer un utilisateur non privilégié dédié à Ansible avec un accès sudo
  • permettre à l'utilisateur Ansible d'exécuter toutes les commandes via sudo en spécifiant un mot de passe (qui est unique et doit être connu de tous les administrateurs système qui utilisent Ansible pour contrôler les serveurs)
  • permet à l'utilisateur d'Ansible d'exécuter toutes les commandes via sudo sans spécifier de mot de passe
  • d'autres indices ?
Demandé el 3 de Janvier, 2017 par wnm

Réponses

Trop de publicités?

23voto

kubanczyk avatar
kubanczyk Points 13302

L'hôte bastion (le centre de contrôle ansible) appartient à un sous-réseau séparé. Il ne doit pas être directement accessible de l'extérieur, il ne doit pas être directement accessible de les serveurs gérés !

Votre ordinateur portable est l'appareil le moins sûr de tous. Un mail stupide, une vulnérabilité flash stupide, un Wifi invité stupide et il se fait pwner.

Pour les serveurs, n'autorisez pas du tout l'accès à la racine via ssh. De nombreux audits s'en moquent.

Pour ansible, laissez chaque administrateur utiliser son propre compte personnel sur chaque serveur cible, et laissez-les sudo avec des mots de passe. De cette manière, aucun mot de passe n'est partagé entre deux personnes. Vous pouvez vérifier qui a fait quoi sur chaque serveur. C'est à vous de décider si les comptes personnels autorisent la connexion par mot de passe, par clé ssh uniquement, ou s'ils requièrent les deux.

Pour clarifier ansible n'exige pas l'utilisation d'un seul nom de connexion cible . Chaque administrateur peut et doit avoir son propre nom de connexion.

Une note en marge : Essayez de ne jamais créer un compte appelé par un mot (comme "ansible" ou "admin" ou "cluster" ou "management" ou "operator") s'il a un mot de passe. Le seul bon nom pour un compte qui a un mot de passe est le nom d'un être humain, comme "jkowalski". Seul un être humain peut être responsable des actions effectuées via le compte et responsable d'une mauvaise sécurisation de son mot de passe, ce qui n'est pas le cas de "ansible".

Répondu el 4 de Janvier, 2017 par kubanczyk (13302 Points )

18voto

fatal_error avatar
fatal_error Points 1042

> Question 1 : la machine de contrôle

Chez Userify (divulgation complète : nous offrons en fait un logiciel pour gérer les clés ssh), nous traitons ce problème en permanence, puisque nous gérons également le plus grand entrepôt de clés SSH. Nous recommandons généralement l'installation locale plutôt que l'utilisation du cloud, car vous avez un meilleur contrôle, vous réduisez votre surface, vous pouvez vraiment le verrouiller aux seuls réseaux de confiance connus.

Ce qu'il faut retenir, c'est que dans un système correctement construit comme celui-ci, il ne devrait pas y avoir de secrets importants susceptibles d'être divulgués à un attaquant. Si quelqu'un pénètre dans votre centre de données avec un chariot élévateur et s'en va avec votre serveur, il n'obtiendra pas grand-chose, si ce n'est quelques mots de passe lourdement hachés, probablement quelques fichiers lourdement cryptés et quelques clés publiques sans les clés privées correspondantes. En d'autres termes, pas grand-chose.

Comme vous le soulignez, les véritables vecteurs de menace sont les suivants que se passe-t-il si un pirate prend le contrôle de cette machine ? et l'utilise pour déployer ses propres comptes d'utilisateur et clés (publiques). Il s'agit d'un risque pour pratiquement toutes les plates-formes en nuage (ex : Linode). Vous devriez vous concentrer sur la prévention de l'accès au plan de contrôle, ce qui signifie minimiser la surface d'attaque (n'exposer que quelques ports et verrouiller ces ports autant que possible) et de préférence utiliser un logiciel qui est renforcé contre l'escalade des privilèges et diverses attaques (injection SQL, XSS, CSRF, etc.) Activer l'accès 2FA/MFA au plan de contrôle et se concentrer sur le verrouillage de ce plan de contrôle autant que possible.

Est-il préférable d'avoir une machine de contrôle dédiée dans le centre de données ou une machine de contrôle à distance (comme mon ordinateur portable connecté à distance au centre de données) ?

C'est nettement meilleure d'avoir une machine de contrôle dédiée dans un centre de données sécurisé, parce que vous pouvez l'isoler et la verrouiller pour prévenir/minimiser le risque de vol ou d'accès non autorisé.

Si la meilleure pratique consiste à utiliser mon ordinateur portable (qui pourrait être volé, bien sûr, mais je pourrais avoir mes clés publiques sauvegardées en toute sécurité en ligne dans le nuage ou hors ligne sur un appareil portable crypté), Et si j'ai besoin d'utiliser des interfaces web ? avec Ansible, comme Ansible Tower, Semaphore, Rundeck ou Foreman, qui doit être installé sur une machine centralisée dans le centre de données ?

Vous n'avez besoin d'exécuter AUCUNE interface web ou un plan de contrôle secondaire pour gérer vos clés (même Userify) jusqu'à ce que vous deveniez suffisamment grand pour commencer à rencontrer des problèmes de gestion en raison d'un plus grand nombre d'utilisateurs et de différents niveaux d'autorisation sur les serveurs ou que vous ayez besoin d'un coup de main supplémentaire pour vos utilisateurs qui n'ont peut-être pas les connaissances ou l'accès à Ansible pour mettre à jour les clés. Userify au début n'était pas beaucoup plus qu'un tas de Shell Shell (aujourd'hui ils seraient Ansible, probablement !) et il n'y a rien de mal à cela, jusqu'à ce que vous commenciez à avoir besoin d'un contrôle de gestion supplémentaire et de moyens faciles pour les gens de gérer/rotation de leurs propres clés. (Bien sûr, jetez un coup d'œil à Userify si vous en arrivez là).

Comment le sécuriser et éviter qu'il ne devienne un "point d'attaque unique" ?

Bien sûr, consultez toutes les ressources disponibles sur le net pour verrouiller les choses, mais le plus important, c'est qu'il n'y a pas d'autre solution que d'aller voir sur place. commencer par une base solide :

1. Concevez votre solution en gardant la sécurité à l'esprit dès le départ. Choisissez une technologie (c'est-à-dire une base de données ou des langages) qui a traditionnellement connu moins de problèmes, puis codez en pensant d'abord à la sécurité. Assainir toutes les données entrantes, même celles provenant d'utilisateurs de confiance. La paranoïa est une vertu.

2. Tout finit par se briser. Minimisez les dommages lorsque cela se produit : comme vous l'avez déjà souligné, essayez de minimiser la manipulation de matériel secret.

3. Restez simple. N'adoptez pas les dernières nouveautés exotiques à moins d'être certain qu'elles augmenteront votre sécurité de manière mesurable et prouvable. Par exemple, nous avons choisi X25519/NaCl (libsodium) plutôt que AES pour notre couche de chiffrement (nous chiffrons tout, au repos et en mouvement), parce qu'il a été conçu et écrit à l'origine par quelqu'un en qui nous avons confiance (DJB et al) et qu'il a été examiné par des chercheurs de renommée mondiale tels que Schneier et l'équipe de sécurité de Google. Utilisez des choses qui tendent vers la simplicité si elles sont plus récentes, car la simplicité rend plus difficile la dissimulation de bogues profonds.

4. Répondre aux normes de sécurité. Même si vous ne relevez pas d'un régime de sécurité tel que PCI ou la règle de sécurité HIPAA, lisez ces normes et trouvez le moyen de les respecter ou, au moins, de mettre en place des contrôles compensatoires très stricts. Cela vous permettra de vous assurer que vous respectez réellement les "meilleures pratiques".

5. Introduire des tests de pénétration externes/indépendants et mettre en place des primes aux bogues. pour vous assurer que vous suivez ces bonnes pratiques en permanence. Tout semble parfait jusqu'à ce que des personnes intelligentes et très motivées s'y attaquent... une fois que ce sera fait, vous aurez une grande confiance dans votre solution.

Question 2 : les clés SSH Quel est le meilleur choix : laisser Ansible utiliser l'utilisateur root (avec sa clé publique sauvegardée dans ~/.ssh/authorized_keys / permet à l'utilisateur Ansible d'exécuter toutes les commandes via sudo en spécifiant un mot de passe (qui est unique et doit être connu de tous les administrateurs système qui utilisent Ansible pour contrôler les serveurs).

Essayez de ne jamais utiliser de mots de passe sur les serveurs, même pour sudo. C'est une question de secrets et, en fin de compte, cela sapera votre sécurité (vous ne pouvez pas vraiment faire varier le mot de passe sudo entre les machines, vous devez le stocker quelque part, le mot de passe signifie que vous ne pouvez pas vraiment faire de l'automatisation de serveur à serveur, ce qui est exactement ce dont il s'agit). De plus, si vous laissez SSH à ses valeurs par défaut, ces mots de passe peuvent être forcés de manière brute, ce qui rend les clés quelque peu vides de sens. Par ailleurs, évitez d'utiliser l'utilisateur root pour quelque raison que ce soit, et en particulier pour la connexion à distance.

Créer un utilisateur non privilégié dédié à Ansible avec un accès sudo / permettre à l'utilisateur Ansible d'exécuter toutes les commandes via sudo sans spécifier de mot de passe.

Exactement. Un utilisateur non privilégié que vous pouvez auditer dans ansible, avec des rôles sudo. Idéalement, créez un utilisateur standard dédié aux communications serveur à serveur/ansible avec un accès sudo (sans mot de passe).

... N.B., si vous utilisiez Userify, je vous suggérerais de créer un utilisateur Userify pour ansible (vous pouvez également le diviser par projet ou même par groupe de serveurs si vous avez plusieurs machines de contrôle ansible), de générer une clé SSH sur le serveur de contrôle, et de fournir sa clé publique dans sa page de profil Userify. (Cette zone de texte devient essentiellement /home/ansible/.ssh/authorized_keys ). Le compte système ansible doit être séparé des autres comptes système serveur à serveur, tels que le compte de sauvegarde à distance, la gestion des secrets, etc. Ensuite, invitez vos humains et ils peuvent créer et gérer leurs propres clés également et tout reste séparé. Mais, tout comme pour le verrouillage d'un serveur de contrôle Ansible, essayez de verrouiller votre serveur Userify (ou toute autre solution que vous déployez) de la même manière.

d'autres indices ?

Je pense que vous vous y prenez de la bonne manière et que vous posez les bonnes questions. Si vous souhaitez discuter de ce genre de choses, envoyez-moi un courriel (first dot last name at userify) et je serai ravi de discuter avec vous, quelle que soit la direction que vous prendrez en fin de compte. Je vous souhaite bonne chance !

Répondu el 4 de Janvier, 2017 par fatal_error (1042 Points )

6voto

Jacob Evans avatar
Jacob Evans Points 7455

Réponse 1 : la machine de contrôle

Un peu des deux, vous pouvez utiliser votre ordinateur portable pour vous connecter aux serveurs VIA un hôte bastion. quelque chose comme :

Host private1
  IdentityFile ~/.ssh/rsa_private_key
  ProxyCommand ssh user@bastion -W %h:%p

Host bastion
  IdentityFile ~/.ssh/bastion_rsa_key

En savoir plus sur bastion Hosts

Vous disposez d'une clé pour le serveur bastion et d'une clé distincte pour l'hôte derrière lui. (personnellement j'utiliserais gpg-agent/ssh-agent)

Réponse 2 : Authentification

Je ne suis pas sûr que les meilleures pratiques spécifiques à "ansible" diffèrent des autres meilleures pratiques de connexion ssh. Mais non, vous voulez exécuter ansible en tant que vous-même, pas un compte de service et pas un compte root.

Une combinaison des authentifications suivantes :

Autres réflexions :

  • Toujours stocker les secrets/informations privées dans ansible-vault.
  • Ansible n'a pas besoin de SUDO/Root pour fonctionner, sauf si ce que vous faites nécessite sudo/root.
  • Ansible peut élever les permissions de différentes manières

Enfin, vous n'avez pas parlé de Windows. Je ne peux donc que supposer que vous ne l'utilisez pas. Cependant, dans ce cas, j'utiliserais l'option delegate pour que votre ordinateur portable utilise l'hôte bastion (delegate_to : bastion.hostname.fqdn ) et kerberos/winrm https avec des tickets kerberos.

Au cas où vous l'auriez manqué, les meilleures pratiques en matière d'informatique, ne jamais rien faire en tant que root, toujours utiliser des comptes nommés

Répondu el 4 de Janvier, 2017 par Jacob Evans (7455 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X