1

我正在尝试在厨师回购中编辑某些属性。

我在 chef-solo 的自述文件中看到以下(可能是默认)文本:

Absolutely no sensitive values should be kept in the git repo. All secrets should be kept in the password vault. Capistrano will register servers with the vault as needed.

我不确定回购中确实不应该存在哪些值。有人可以帮忙举一些例子吗?

另外,我在部分角色文件中看到了一个override_attributes我不完全理解但可能与上述文本有关的声明:

use_vault : true

我知道这是一个模糊的问题,但这是我能给出的全部。在此先感谢您的帮助!!

4

1 回答 1

2

首先,我想澄清一些让我感到困惑的事情。你的问题基本上类似于这个问题:“我应该用叉子还是茶匙,这样我就不会在用有毒的浆果喂养孩子时伤害它?” 答案是:“别管工具,你应该担心的是浆果!”

现在,让我们将 override_attributes 问题(工具)与暴露敏感数据的风险(浆果)分开。

仅当我们不确定数据来自何处并且需要强制覆盖它们时才使用覆盖属性。你所看到的就是这样。该配方的作者确保将使用保险库。

您发布的有关敏感数据的消息与 override_attributes 无关。我想您不希望将您的私钥、密码或信用卡凭证放入文件中并将其推送到 github、公共 git 存储库或以任何其他方式公开。消息只是在那里提醒您。那么,敏感数据应该放在哪里呢?没有答案,但您得到的答案All secrets should be kept in the password vault..在将敏感数据存储在某个位置之前,您还应该记住的是系统的体系结构及其用户的权限。你想把它放在不需要知道它的人接触不到的地方。所有这些讨论都是关于尽可能确保您的易受攻击、珍贵、敏感数据的安全,并且没有针对此的问答方法。

希望这个模糊的答案有所帮助。如果有人知道它可能更清楚,请评论或编辑,我很高兴看到它得到改进。

于 2014-03-18T22:33:04.627 回答