Блог

Меня беспокоит файл хранилища паролей, в котором хранится пароль для дешифрования в виде обычного текста, но я не смог найти никаких решений.

Сегодня я использовал команду ansible-vault encrypt для шифрования всех моих переменных. Затем я создал файл паролей, который будет использоваться для пароля хранилища, и указал на него строку vault_password_file в ansible.cfg. Я не хочу, чтобы пользователям в системе ansible предлагалось вводить пароль хранилища каждый раз, когда они запускают playbook, поэтому мы выбрали этот метод.

Все это работает нормально, но меня беспокоит тот факт, что пароль в файле хранится в виде обычного текста. Для меня это сводит на нет задачу шифрования другой информации. Я пытался найти решения для этого, но я не могу найти никаких ответов.

Мне интересно, существуют ли какие-либо методы хэширования пароля в файле, которые по-прежнему позволяют ansible использовать его для расшифровки?

У кого-нибудь есть какие-либо решения, которые я мог бы изучить?

Предполагая, что вы используете систему управления версиями, которой вы и должны быть — тогда вы могли бы сохранить пароль ansible_vault в файле, как сейчас, но использовать либо git-secret, либо blackbox (https://github.com/StackExchange/blackbox ) для шифрования файла паролей хранилища.

git-secret предназначен специально для git, а blackbox работает с git, а также с некоторыми другими поставщиками управления версиями.

С помощью blackbox вы добавляете открытый ключ пользователя для шифрования вашего файла, и любой из ваших пользователей может расшифровать файл. Если они уйдут, вы можете просто удалить их открытый ключ, а затем больше не сможете получить доступ к файлу.

Одним шагом вперед от этого будет специальный программный инструмент для управления секретами, как упоминалось в комментариях, но это достаточно простой промежуточный шаг для реализации.