想象一下,系统的一个节点被攻陷。如果我理解正确的话,黑客将能够使用 chef 的 API 获取系统中所有服务器的所有配置。对吗?如果是,有没有办法确保节点只获取其配置所需的信息?
答案1
该服务器的 pem 密钥对于该 chef 组织和节点是唯一的。这就是它向 chef 服务器标识自身并确保节点属性仅属于该节点的方式。这就是为什么当您更改 chef-orgs 时,您必须重新启动服务器。此外,当您尝试在具有相同 pem 密钥的不同框上甚至使用旧 pem 密钥重建的框上使用 chef-client 执行时,它将不起作用。
存储在服务器上的加密数据包仍然需要从 knife 传递给 chef-client 的密钥。