Questions tagged «security»

有关IT安全,信息安全或DevSecOps的问题。

5
如何管理.tf和.tfstate中的机密?
我想使用Terraform MySQL Provider保留mysql用户列表,并为创建新的测试环境提供方便。在.tf和.tfstate文件都似乎想要MySQL的存储密码明文。 关于.tf: 据我了解,.tf文件位于版本控制中,并由团队维护。秘密存在时,这种做法.tf有何不同?可以对这些值进行加密吗? 关于.tfstate: 我可以.tfstate在运行Terraform apply之后将其安全地存储在某个地方,但是对于这种用例,最好根本不存储它?

6
在生产环境中运行Docker时应考虑哪些最佳和全面的实践?
最后,您非常喜欢Docker,因此想要将具有敏感客户数据的在线关键业务生产系统移至Docker Swarm。有些甚至可能已经这样做了。另一组织无法通过禁止在root模式下运行的生产流程的策略来承担该费用。 对于Docker生产环境,可以考虑的构建基清单清单是什么?一个并不需要所有,但是所有它们都应该被评估很重要。 免责声明:我知道有一个SE策略可以避免“无尽的大列表”,但是我认为此清单不能太大...反之亦然。 那么-这些积木是什么? 如果尚未部署,请考虑运行具有高级安全设置的Linux主机系统-强化内核,SELinux等。 考虑使用微小的Docker基本映像,例如alpine,busybox甚至是草稿,例如从空的基本映像开始 使用除root以外的USER设置 仔细评估以进一步减少授予容器的已缩减的内核功能集 考虑每个容器只有一个可执行二进制文件来启动进程,理想情况下是静态链接 那些想要破坏您的系统以获取外壳程序访问权限的人可能想知道他们是否发现您的容器已禁用所有外壳程序 尽可能挂载只读卷 问题:还有什么?

4
在哪里放置ansible-Vault密码
我们计划在项目中使用ansible保管库,以防止git中的密码或密钥泄漏。 想法是将所有敏感数据放入一个普通文件中,然后在推送到git之前使用密码使用ansible-vault对该文件进行加密。 要解密文件,我们必须将Vault密码传递给ansible,我正在考虑3种可能性: 将其存储在服务器环境变量中 将其作为选项传递给ansible-playbook命令 将其存储到未版本控制的文件中。 是否还有其他选择,这是存储ansible-Vault密码的最佳(和安全)方法,而ansible最佳做法文档对此没有说明。

2
什么是SecOps?
首先,当我听到SecOps一词时,我将其视为一种旨在连接安全和运营团队的管理方法,就像将DevOps统一开发人员和运营团队一样。 但是,安全性不只是DevOps难题的一部分吗? DevOps已经包括组件监视,版本管理,基准测试,代码审查,连续监视等过程。 SecOps还能为DevOps团队增加什么呢,或者这可能是另一个时髦的词?

5
如何禁止访问Docker容器内部?
我想将我的应用程序以docker映像的形式交付给客户。但是至关重要的是确保最终用户不要更改容器内的任何内容。用户只能运行/停止容器并通过网络与容器交互。 是否可以禁止接触容器内部?是否可以验证该容器制成的图像的完整性?
14 docker  security 

2
如何存储应用程序所需的凭据?
所有人都说将凭据存储在版本控制(git)中是一件坏事。因此,必须有其他更好的存储凭据的方法。 应用程序必须从某处接收凭据才能使用其依赖的服务。这些凭据通常存储在配置文件中。手动输入每台服务器以创建该文件是不可能的,因为服务器的往返操作无需人工干预。 如何管理应用程序的凭据?

2
如何在serverless.com项目的代码中存储加密的机密?
使用serverless.com,向AWS Lambda函数公开机密的最简单方法是将其存储在serverless.yml文件中(例如,用KMS加密)。 但是,将加密的机密提交给Git并不是世界上最好的事情。一方面,需要更改机密时需要更改代码。 但是仅就安全性而言,还有什么更好的选择?例如,机密可以存储在S3中(加密),并且Lambda可以访问该位置和KMS密钥,但是实际上这在任何有意义的方式上都更好吗?

4
在Google Cloud Load Balancer上打开端口
似乎默认情况下,Google Cloud负载均衡器会不必要地公开多个端口。我还没有找到一种仅公开80/443的方法,每次我制作其负载均衡器之一时,在nmap中会看到以下端口: PORT STATE SERVICE 25/tcp open smtp 80/tcp open http 110/tcp open pop3 143/tcp open imap 443/tcp open https 465/tcp open smtps 587/tcp open submission 993/tcp open imaps 995/tcp open pop3s 1720/tcp open H.323/Q.931 8080/tcp open http-proxy 有办法封锁25、465、587、993和995吗? 请注意,这个问题是关于GCP负载均衡器的,而不是防火墙。

2
使用Jenkins的sudo不好吗?
我使用“ 通过SSH发布”插件将我的应用程序部署Jenkins到不同的环境。一些部署作业会进行环境准备,诸如停止并重新启动应用程序服务器系统服务之类的事情。其中一些命令要求sudo。 我只是好奇在远程发布和执行Jenkins作业中要求sudo是否会是一种不良的安全做法。我们是否应该更改目标主机上的安全策略以允许执行所需功能而无需sudo?
11 jenkins  security 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.