Какой-либо марионеточный агент может получить какой-либо марионеточный файл от ведущего устройства?
Nagios является фактическим стандартом в Linux для простого контроля. Nagios силен в контролирующих портах/сервисах и контакте с людьми, если/когда вещи не являются большими.
Установите его, настройте несколько мониторов/контактов/хостов и дайте ему движение. Еще существуют много, включая nagios с более симпатичным frontends, но IMO, это - довольно важный o, знают, как сделать вещи, которые GUI сделал бы для Вас позже. Nagios действительно имеет много файлов конфигурации, которые могут быть небольшим укрощением.
Пока этот файл определен только в одном «узле», все должно быть в порядке, другой «узел» не может запросить этот файл, потому что для него он не существует.
Однако обычно не рекомендуется хранить «защищенные» файлы на марионеточном сервере.
Надеюсь, это поможет!
Документация для Puppet File Server должна быть в состоянии покрыть большую часть того, о чем вы спрашиваете. В частности, см. Раздел безопасности .
Сначала примечание. Если у вас включен автоподпись, то практически любые предлагаемые меры безопасности не подходят. Вы должны проверить каждый сертификат. Поскольку настраиваемые параметры безопасности будут основаны на имени хоста / имени сертификата или совпадении с ними регулярного выражения, включение автоподписи потенциально может означать, что любая недоверенная система может просто запросить сертификат для имени, соответствующего шаблону, имеющему доступ к секретным файлам.
По умолчанию все, что есть в специальных подключаемых модулях и модулях монтирования файловых серверов, доступно любому клиенту. Но это можно в определенной степени контролировать с помощью конфигурации.
Вы также можете настроить собственные «крепления». которые указывают на определенные места. В документации приводится пример создания монтирования [private] для распространения закрытых ключей SSH. Имя хоста используется как часть пути монтирования, поэтому данный хост может видеть только принадлежащие ему файлы.
У меня нет точных данных по этому поводу. Однако из того, что я читал здесь и там, мне кажется, что любой агент может получить любой файл от мастера, если этот файл находится внутри дерева файлового сервера Puppet, а конфигурация файлового сервера Puppet позволяет агенту получить доступ к дереву. Мне также кажется, что функции file (), template () и extlookup () выполняются на главном сервере, когда он компилирует конфигурацию агента, прежде чем он отправит ее агенту.
Следовательно, это должно быть достаточно безопасно для хранить конфиденциальные файлы вне дерева файлового сервера Puppet и использовать file () для доступа к ним. Таким образом, они должны быть доступны только тому агенту, для которого они предназначены.
'Если вы не хотите хранить важные файлы на марионеточном сервере, что вы предлагаете взамен? «
Я думаю, марионеточный библиотекарь , возможно, сможет помочь в этом случае .. посредством чего можно создать файл марионеток, специфичный для клиента, и применить его клиенту по запросу (возможно, даже без кукловода).
Таким образом, типичным сценарием может быть ssh в поле, захват файла марионетки из известного безопасного удаленного или локального местоположения и использование его для установки всех зависимых модулей (и / или файлов конфигурации) перед запуском ручного запуска марионетки .. I Предположим, вы можете легко автоматизировать этот набор задач с помощью capistrano или подобных инструментов.