S
👍
Size: a a a
2019 January 11
С
Я в ENV отдаю secret-id, но он протухает сразу после авторизации. Role-id в код зашит, но тоже можно рядом положить. А вот токен всегда в памяти. Его знают лишь волт и приложение
чем этот вариант отиличается от отдавания токена через ENV?
С
Я в принципе вижу один небольшой закрытый риск: если вдруг сломают дженкинс, то украдут secret-id, но теоретически могут не смочь украсть role-id, но как-то это маловероятно.
YS
по secret-id в моих настройках можно авторизоваться лишь 1 раз и лишь в течении 2-х минут после выпуска secret-id. Далее это просто UUID, который ничего не даст
С
этот таймаут в 2 минуты не имеет особого смысла, если всегда можно выписать новый secretid ещё на 2 минуты
YS
Я в принципе вижу один небольшой закрытый риск: если вдруг сломают дженкинс, то украдут secret-id, но теоретически могут не смочь украсть role-id, но как-то это маловероятно.
Да, если узнают как получать secret-id, то могут воспользоваться. Спасёт bound_cidrs. Т.е. если взломали торчащий в инет дженкинс, а авторизоваться можно лишь с определённого ИП, то сами секреты не утянут.
Т.е. если пользователь дженкинса владеет политикой типа
ну да, DDoS, но не больше.
Т.е. если пользователь дженкинса владеет политикой типа
path "auth/approle/role/vca/secret-id" {
capabilities = ["update"]
}ну да, DDoS, но не больше.
S
ну вы добавьте логирование выпуска/обновления токена + запрос секрета, алерт завесить и уже норм
S
сием из желудей и веточек
YS
Дополню Станислава.
Аудит деятельности можно логировать с помощью audit device. Далее можно собирать логи в ELK или ELG или ещё какое решение и в нём настраивать алерты.
Аудит деятельности можно логировать с помощью audit device. Далее можно собирать логи в ELK или ELG или ещё какое решение и в нём настраивать алерты.
AA
Stanislav Sharakhin
сием из желудей и веточек
Раз уж речь зашла о сием)
Есть какая-нибудь софтина в которую я буду пихать всякие эвенты и в вэб-интерфейсе это всё удобно разгребать, фильтровать, возможно роутить куда-то.
Есть какая-нибудь софтина в которую я буду пихать всякие эвенты и в вэб-интерфейсе это всё удобно разгребать, фильтровать, возможно роутить куда-то.
S
Splunk, до 500 мб в сутки бесплатно
AA
это не то
KO
Из SaaS есть Zapier, но он за деньги
AA
А в алерте можно события фильтровать и что-бы она их игнорила в дальшейшем?
KO
В нем вообще всё что угодно наверное связать можно
KO
А в алерте можно события фильтровать и что-бы она их игнорила в дальшейшем?
KO
Я её не пробовал, просто присматриваюсь
AA
Ну я про неё давно знаю, но у меня немного другой кейс. Т.е. мне валится куча эвентов и их нужно как-то красиво схлопнуть и иметь возможность заигнорить совсем.
Тут может даже sentry ближе чем алерта.
Тут может даже sentry ближе чем алерта.