В новых выпусках системы централизованного управления конфигурацией SaltStack 3002.5, 3001.6 и 3000.8 устранена уязвимость (CVE-2020-28243) позволяющая непривилегированному локальному пользователю хоста повысить свои привилегии в системе. Проблема вызвана ошибкой в обработчике salt-minion, применяемом для приёма команд с центрального сервера. Уязвимость была выявлена в ноябре, но исправлена только сейчас...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54685
Кажется Salt переплюнут proftpd по наплевательскому отношению к безопасности. Это же надо в стольких местах забыть проверить ".." и ";" перед выполнением команд и заявить о шифровании коммуникаций, но не проверять сертификат.
Может они пытаются новый вид уязвимости открыть.. фузингом CVE
Уязвимость в каталогах CVE? Неожиданный тип уязвимости - вулносайтокапец!
Знаешь, там все увизьгвимости последних лет - из серии "ну теперь тебе точно п-ц" и "они - уху ели!"У тебя пользователи (!) на автоматически управляемой (!) системе могут подменять управляемые тобой процессы (не абы какие, а именно salt'ом рестартимые), и в этом - увизьгвимость?
Ты пользователю доверил salt'ом исполнять команды на куче серверов, и теперь боишься двоеточий?
Или пресловутые "mitm-атаки" - у тебя В СЕТИ mitm! Какой, н$!#, уже salt ?! Тебе П-Ц!
Это даже покруче чече...простите, чешского оператора, ворующего траффик клиентов (уворовать еще ладно, для mitm нужна возможность инжектить). Вы зачем вообще в такую сеть без химзащиты выходите?!
Одно дело просто пошифровать управление чтоб такие вот чеч...хи не подглядывали "чисто случайно, сеть отлаживали", но всерьез бороться с всерьез вздумавшим тебя ломануть провайдером? Да БЕГИТЕ нахер оттуда, пока в рабство не продали, тут хоть сорок презервативов на себя надень, не поможет.
Чё?
Это пох, видный эксперт по безопасТности. Видишь, у него безопасТность нагибается от MITM в сети.
Ну как то у них не работали их же пакеты, Карл. То есть никто даже не проверял а работает ли то что собралось в принципе.
А когда то и вовсе не запускался под определённой версией бубунты (не косяк солта, но его зависимостей и косяк бубунты) и ничего с этим сделать не могли что то около полугода. Это простительно для домашнего проекта, но для софта претендующего на ядро энтерпрайза это просто смешно.
> А когда то и вовсе не запускался под определённой версией бубунты (не косяк солта, но его
> зависимостей и косяк бубунты) и ничего с этим сделать не могли что то около полугода.ну так кто же должен исправлять косяки убунты? Авторы менеджера конфигураций? Хм... а точно не убунтиные майнтейнеры? Да нет, зачем же...
В убунте что-то около года установка docker swarm роняла docker build. Из-за притаскивания зависимости третьего порядка, что характерно - нахрен ненужной ни сварму, ни докеру. Но удалить ее нельзя, required - то есть можно но apt после этого работать не будет. Ну и что? Они всегда так живут.
> Это простительно для домашнего проекта, но для софта претендующего на ядро энтерпрайза
что-то мне подсказывает, что он претендовал на ядро ентерпрайза, но построенного исключительно на технологиях novell, ныне покойной.
Во всех остальных случаях его после сборки надо доработать очень крупным напильником.К сожалению, никакой другой готовой технологии без необходимости складывания в кучку ключей от всего, современная смузи-разработка так и не породила. А salt толком не поддерживается и разработчики давно уже неведомо куда разбрелись (то что осталось - тоже только смузи лакать способно)
В этом Salt ещё 100500 багов. Можно случайно убить систему. Или целый VmWare-кластер. Разработчики не реагируют на баг-репорты. А через 3-6 месяцев репорты закрывают.
Может у тебя багрепорты были уровня "отправил rm -rf / на весь кластер, он почему-то сдох!" ?Логично, в общем-то... для того и брали.
В общем, багрепорт как безобидной командой ты уронил vmware кластер (нахера кстати вмвари салт, кто бы пояснил?) в студию.
Настоящий серьезный бизнес, не какой-нибудь там опенсоурс.
> https://github.com/saltstack/salt/pullsта вы посмотрите на эту помойку. какая нафиг безопасность ???
Мсье не понимает сарказма?
А вот еслиб написали на rust такого точно никогда бы не случилось! Срочно переписать!
А есть альтернативы? Puppet, chef безнадежно устарели, у ansible архитектура неудачная, для большого количества серверов не особо годен, да и по функционалу сильно от salt отстаёт
А чем безнадёжно устарел Puppet?
Тем, что удобный, простой и работает. Неужели не понятно?
Так то и bash тоже удобный, простой и работает
Так он и не устарел)
Для управления конфигурациями bash является устаревшим изначально. Поэтому всякие chef и придумали
Ничерта паппет не простой и не шибко удобный. Но работает, этого не отнять.
Долго расписывать, думал все это знают, но если вкратце, то всем. Ансибл как раз и появился потому что проще переписать было
Переусложнен, ruby, в целом за счёт легаси и архитектуры негаомоничен: оркестрировать предлагается отдельными инструментами, push стратегия тоже реализуется через них. Можно обмазаться паппетом и джедайски пилить нужные модули (и править существующие), а в свободное время думать об архитектуре уже манифестов, но это уже нужен неплохой специалист, которого тяжело будет заменить и даже пошарить его знания с коллегами будет проблематично (руби то далеко не все знают даже в москае, а кто знает - не знает паппет, немногие кто хорошо знает паппет с большой вероятностью уже пригрет в одной из компаний, больших перспектив в этом не видно, так что и желающих вырастать в паппет специалистов не много)
Ну и в конфигурацию сетевых железок не умеет
Для сетевых коробок использую nornir
То есть тебе не лень было учить его бредовый и толком недокументированный фреймворк (при наличии знаний и умений в собственно впихон) ради... чего, собственно? "декларативного управления сетевыми железками"? (прежде чем что-то подекларировать - изволь это написать на впихоне)Я могу понять пользующихся отсосиблем, это стильно, модно, молодежно, топ-менеджеры одобряют, премию выпишут, и в резюм полезная строчка, а ты такой только готовые плейбуки ctrl-c/ctrl-v. И пароли от всего лежат кучкой, удобно, если чо, все свалить на злобных-презлобных хакеров.
Но ЭТО-то недоразумение - нахрена?
Он же ничего не умеет.
Вот сейчас кодерам на пихоне обидно было!
Я смотрю у девопсов и сисадминов цирк с конями покруче чем у фронтендеров. Такое же стремительное "развитие" технологий.
Понимаешь ли, автоматическое обновление конфигураций по всем серверам чохом мы придумали за десять лет до изобретения этих модных девляпсовых игрушек.Но оно было соврешенно небезопастное, представь себе. Потому что нам ну не приходило в голову героически защищаться от mitm в собственной сети, или от двоеточий. Если бы мне пришло в голову что-то "хакнуть", я бы на нужную машину рутовым ssh просто зашел (кстати, автоматика потом бы замела за мной все следы). Боюсь представить, кому же это в голову таки приходит.
В кои-то веки так сильно согласен с похом!
Nix
You are fake!(C)
т.е. у солта архитектура по вашему удачная? Ох... у меня про нее столько багов заведено, да им и пофиг на самом деле. Приходится приватный форк держать чтобы хоть как-то жто творение на скейле фурычило