需要从 Terraform 调试日志中删除的信息吗?

需要从 Terraform 调试日志中删除的信息吗?

提交 GitHub 问题时,我们会要求随票证提供调试日志。有人知道从日志中删除哪些字段/数据比较好吗?

例如,输出将包括对提供身份验证数据的 AWS STS 服务的请求。我想最好将其删除,对吧?用户名、帐户 ID、用户 arn 等是否也应删除?

答案1

首先,提交时,它们会有一个 GPG 密钥,可以向整个互联网隐藏您的秘密。一定要这样做。

其次,当我不得不这么做时,我会翻阅整本书。我隐藏了一些内容:

  • 网络块信息。大部分传输到不同的子网。如果某些数据泄露,有针对性的攻击者一旦找到探测方法,就会难以映射我们的内部网络。
  • 确切名称。这需要一些工作,但一些明智的 sed 工作将所有的替换chicago-binddns01等。绑定 DNS 并不是一个糟糕的猜测,但 mongodb 与 cassandra 更适合找出有针对性的攻击。
  • AWS 账号。。这些是 ARN 的一部分,并且非常易于编辑。
  • 真正的秘密。某些 Terraform 资源需要密码和访问密钥等信息。如果您以前从未查看过调试转储,您可能会惊讶于其中有多少信息。

这是一项艰巨的工作,其中一些是手动的。

相关内容