Итак, Ansible - БОЛЬШАЯ вещь на данный момент, наряду с другими решениями для управления конфигурацией, такими как Puppet, SaltStack и так далее. В моей компании мы управляем более чем 500 серверами, и некоторые ребята внедряют решение Ansible, чтобы минимизировать накладные расходы на управление конфигурацией.
Каким бы я ни был параноиком, я начал думать о том, что на самом деле можно сделать с сервера Ansible, если кто-то не в своем уме.
Я искал в Интернете лучшие практики по усилению безопасности на серверах Ansible и в основном нахожу статьи о том, как Ansible можно использовать для защиты других серверов (очевидно), а также нахожу общие рекомендации по усилению защиты сервера Linux, поскольку Ansible работает в Linux. Это заставило меня подумать, что общая идея централизованного сервера управления конфигурацией сопряжена с некоторыми рисками; разве я, как хакер или недовольный сотрудник, иметь возможность запускать команду rm -rf /
на всех серверах или аналогичных с использованием сервера Ansible?
Как правило, я бы предположил, что при наличии сегментированной сети, где test, dev, pre-prod , и prod недоступны друг для друга, это будет означать, что у вас ВСЕГДА будет установлен сервер Ansible для каждой из этих сред, поэтому у вас нет сервера, на котором брандмауэр разрешает доступ ко всем системам. Я полагаю, что, по крайней мере, это здравый смысл.
Тем не менее, идея сервера, который может настраивать ВСЮ СЕТЬ серверов, безумна, если вы думаете о том, кому не положено получить доступ к серверу Ansible.
Будет можно создать какой-то MFA, который срабатывает до запуска команд, или сервер Ansible не сможет создавать свои собственные playbooks, У меня есть VNET1 в AustraliaEast и VNET2 в SouthEastAsia, успешно создал VPN ...
Обучение на скорости в миллион миль в час здесь, тестирование Route vs Policy VPNs в MSDN в рамках подготовки к большому рывку.
У меня VNET1 в AustraliaEast и VNET2 в SouthEastAsia, успешно создали VPN между ними и подтвердили использование хостов в обоих.
Я также смоделировал OnPrem-To-Azure S2S VPN с помощью StrongSwan. Я считаю, что я настроил его так, чтобы он знал об обоих диапазонах IP-адресов VNET;
rightsubnet=10.61.200.0/22,10.65.200.0/22
...
Security Associations (1 up, 0 connecting):
azure[1]: ESTABLISHED 35 minutes ago, 192.168.1.1[LocalIP]...X.X.X.X[AzureIP]
azure{1}: INSTALLED, TUNNEL, ESP in UDP SPIs: c62f3c80_i 2ba5c8c0_o
azure{1}: 0.0.0.0/0 === 10.61.200.0/22 10.65.200.0/22
Я могу успешно проверить связь с диапазоном VNET1, который имеет шлюз виртуальной сети, к которому я подключился. Я надеялся (при условии?), Что я также смогу проверить связь с VNET2, но я не могу: Мы хотели бы модерировать такие будущие сообщения таким образом, чтобы любое из полей Кому
, Копия
или Скрытая копия
содержало более 50 (или 100, 200. ..) получателей, чтобы сообщение было отправлено на модерацию.
Можно ли создать такое правило потока почты в Exchange и как?
Я уже знаю, что могу ограничить максимальное количество получателей для одного сообщения, но это не решает проблему, поскольку пользователь может разбить свое сообщение на несколько массовых рассылок.
Горан,
Это невозможно. Нет предиката транспортного правила, который мог бы проверить количество получателей в этих полях и затем действовать на основании этой информации. Более того, я согласен с joeqwerty в том, что пользователь все равно сможет просто рубить письма, чтобы обойти модерацию. Независимо от того, модерируются или блокируются ли оскорбительные электронные письма, обход остается открытым для пользователя.
Надеюсь, это поможет.
.