Problema estranho ao passar variáveis do arquivo de texto

Question

codekandis

Asked: 2019-03-13 01:54:12 +0800 CST2019-03-13 01:54:12 +0800 CST 2019-03-13 01:54:12 +0800 CST

Lendo e gravando dados temporariamente sem usar o sistema de arquivos

772

Estou usando o ansible em um ambiente vagrant gerenciando uma caixa debian. Devido a vários provisionadores ansible com dados criptografados do cofre (por exemplo, senha raiz do banco de dados), tenho que inserir a senha do cofre uma vez pelo primeiro provisionador. Atualmente, essa senha é armazenada em /tmp, lida por script em cada provisionador ansible e substituída /dev/nulle excluída pelo último provisionador.

O Ansible é capaz de chamar um script que retorna a senha do cofre. Portanto, este script será executado em um shell separado.

Se um invasor conseguir invadir a VM, ele terá a oportunidade de recuperar qualquer arquivo temporário e obter a senha do cofre.

Embora esses ambientes vagrant sejam usados na produção, estou procurando uma abordagem mais segura. O que primeiro me veio à mente é ler e escrever na memória de alguma forma. Portanto, uma reinicialização da VM limparia a memória. Eu sei que os dados mencionados podem de alguma forma ser trocados no disco. Mas acho que é mais difícil obter esses dados do que a abordagem de arquivo temporário.

Editar

Esqueci de mencionar o risco de segurança se um provisionador falhar. Em seguida, o último provisionador não será executado e o arquivo temporário permanecerá no sistema de arquivos.

Forneci uma resposta adicional mostrando a solução integrada apenas para quem estiver interessado na solução do problema de origem que levou a essa pergunta.

2 respostas

Voted

Christopher · Answer 1 · 2019-03-13T06:09:52+08:00

Best Answer

Christopher

2019-03-13T06:09:52+08:002019-03-13T06:09:52+08:00

Para criar um disco de 1 MB de RAM usando tmpfs:

mkdir /tmp/ramdisk
mount -t tmpfs -o size=1m myramdisk /tmp/ramdisk

O ramfsdisco RAM não troca, mas a troca pode ser desativada e ativada durante o uso do tmpfsdisco RAM: swapoff -ae swapon -a, respectivamente, se for necessário garantir que nenhuma troca ocorreu durante o uso do tmpfsdisco RAM. Para desmontar:

umount /tmp/ramdisk

Talvez eu tenha perdido alguma coisa, mas não vejo o benefício de descrever o disco RAM em /etc/fstab; mas, se for necessário, algo como o seguinte deve ser suficiente para fazer com que o disco RAM fique disponível rootapenas para o usuário ( mode=0700):

tmpfs /tmp/ramdisk tmpfs rw,mode=0700,size=1m

1

codekandis · Answer 2 · 2019-03-13T11:27:47+08:00

Além da resposta do @Christopher, gosto de mostrar como integrei a solução no meu Vagrantfile para que ela funcione com meu ansible povisioning.

Que alguém tropece nisso.

Vagrantfile

Vagrant.configure("2") do |config|

    class AnsibleVaultPassword
        def to_s
            begin
                system 'stty -echo'
                print "Enter ansible vault password: "
                pass = STDIN.gets.chomp
                ensure
                system 'stty echo'
            end
            pass
        end
    end

    config.vm.box = "vendor/box-name"
    config.vm.box_version = ">=1.0"
    config.vm.box_url = "https://vagrant.example.com/vendor/box-name.json"
    config.vm.box_download_insecure = true

    config.vm.define "vendor-server-name"
    config.vm.provider "virtualbox" do |provider|
        provider.name = "vendor-server-name"
    end

    config.vm.network "private_network", ip: "192.168.0.42"

    config.vm.synced_folder ".", "/vagrant", type: "nfs"

    config.vm.provision "Provisioning the server `server-name` with the playbook `ansible`", type: "ansible_local" do |provisioner|
        provisioner.compatibility_mode = "2.0"
        provisioner.playbook = "/vagrant/ansible/ansible.yml"
        provisioner.inventory_path = "/vagrant/ansible/inv/integration/hosts"
        provisioner.limit = "localhost"
    end

    config.vm.provision "Requesting the ansible vault password", type: "shell" do |provisioner|
        provisioner.env = { "ansibleVaultPassword" => AnsibleVaultPassword.new }
        provisioner.inline = <<-END
            [[ ! -d "/mnt/ansible-tmp" ]] \
            && mkdir "/mnt/ansible-tmp"
            mountpoint -q "/mnt/ansible-tmp" \
            || mount -t tmpfs -o size=512 ansible-tmp "/mnt/ansible-tmp"
            /vagrant/env/ansible/scripts/vault-password.sh --save "${ansibleVaultPassword}"
        END
    end

    config.vm.provision "Provisioning the server `server-name` with the playbook `environment`", type: "ansible_local" do |provisioner|
        provisioner.compatibility_mode = "2.0"
        provisioner.playbook = "/vagrant/ansible/environment.yml"
        provisioner.raw_arguments = [ "--vault-id /vagrant/ansible/scripts/vault-password.sh" ]
        provisioner.inventory_path = "/vagrant/ansible/inv/integration/hosts"
        provisioner.limit = "localhost"
    end

    config.vm.provision "Provisioning the server `server-name` with the playbook `users`", type: "ansible_local" do |provisioner|
        provisioner.compatibility_mode = "2.0"
        provisioner.playbook = "/vagrant/ansible/users.yml"
        provisioner.raw_arguments = [ "--vault-id /vagrant/ansible/scripts/vault-password.sh" ]
        provisioner.inventory_path = "/vagrant/ansible/inv/integration/hosts"
        provisioner.limit = "localhost"
    end

    config.vm.provision "Deleting the ansible vault password", type: "shell" do |provisioner|
        provisioner.inline = <<-END
            /vagrant/env/ansible/scripts/vault-password.sh --delete
            mountpoint -q "/mnt/ansible-tmp" \
            && umount "/mnt/ansible-tmp"
            [[ -d "/mnt/ansible-tmp" ]] \
            && rm -r "/mnt/ansible-tmp"
        END
    end

end

/vagrant/ansible/scripts/vault-password.sh

#!/usr/bin/env bash

passwordFile="/mnt/ansible-tmp/vault-password"
case "${1}" in
    "-s" | "--save" )
        echo "${2}" > "${passwordFile}"
        ;;
    "-d" | "--delete" )
        unlink "${passwordFile}"
        ;;
    * )
        cat "${passwordFile}"
        ;;
esac

Embora seja uma VM Debian, primeiro executo o playbook ansibleque adiciona o repositório ansible do Ubuntu e, em seguida, instalo o arquivo ansible. Isso é pelo menos necessário para fornecer o argumento --vault-idao ansible-playbookchamado de Vagrant. (No momento deste post Debian Stretchvem com ansible 2.2o que não suporta esse argumento.)

Em seguida, a senha do cofre é solicitada com a classe AnsibleVaultPassword. O tmpfsserá criado posteriormente e a senha será passada para o script vault-password.shpara armazená-la no tmpfsmount.

A senha será então solicitada pelo ansible por meio do script vault-password.shem cada playbook que fornece dados criptografados do cofre.

E no final a senha será excluída primeiro, depois a tmpfsmontagem será desmontada.

Eu acho que esta é uma solução muito segura para fornecer a senha do cofre ansible por meio de um armazenamento de memória temporário que pode ser apagado. Assim, um sistema em execução pode ser provisionado e uma reinicialização não é mais necessária.

Lendo e gravando dados temporariamente sem usar o sistema de arquivos

Possível firmware ausente /lib/firmware/i915/* para o módulo i915

Falha ao buscar o repositório de backports jessie

Como exportar uma chave privada GPG e uma chave pública para um arquivo

Como podemos executar um comando armazenado em uma variável?

Como configurar o systemd-resolved e o systemd-networkd para usar o servidor DNS local para resolver domínios locais e o servidor DNS remoto para domínios remotos?

apt-get update error no Kali Linux após a atualização do dist [duplicado]

Como ver as últimas linhas x do log de serviço systemctl

Nano - pule para o final do arquivo

erro grub: você precisa carregar o kernel primeiro

Como baixar o pacote não instalá-lo com o comando apt-get?

Lendo e gravando dados temporariamente sem usar o sistema de arquivos

2 respostas

relate perguntas