#ssl #salt-stack
#ssl #солевой стек
Вопрос:
Я пытаюсь включить ssl для Saltstack master и minion, выполнив следующие действия https://docs.saltstack.com/en/latest/ref/configuration/master.html#ssl Но я не уверен, как проверить, что он использует SSL.
Я добавил это в основную конфигурацию:
ssl:
keyfile: /etc/salt/ssl/master/key.pem
certfile: /etc/salt/ssl/master/cert.pem
ssl_version: PROTOCOL_TLSv1_2
Я добавил аналогичные настройки в minion. Однако, когда я использую openssl для проверки порта:
openssl s_client -connect <master ip>:4505 -debug и я получаю SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol . Кажется, SSL вообще не включен. Как проверить, включен ли SSL? Связь между мастером и миньоном кажется прекрасной. Мне просто нужно убедиться, что он использует SSL. Я на Centos 7 с python 2.7. Нужно ли мне устанавливать какие-либо дополнительные пакеты?
Ответ №1:
Вам также необходимо добавить
transport: tcp
Тогда вы, по крайней мере, получите некоторую ошибку, связанную с SSL, в /var/log/salt/master или /var/log/salt/minion
Вы можете использовать tcpdump для сбора некоторого трафика и анализа его в wireshark, чтобы проверить, зашифровано ли соединение ssl.
Комментарии:
1. Вам не нужно использовать ssl-шифрование, если вы не хотите другого уровня безопасности. Связь между мастером и миньоном уже зашифрована. docs.saltstack.com/en/getstarted/system/communication.html
2. Причина, по которой я смотрел на SSL, заключается в соответствии. Легче получить одобрение соответствия, если мы можем использовать стандартную библиотеку SSL. После некоторого расследования я решил использовать другой дизайн. Большое вам спасибо за ваш ответ.