LINUX.ORG.RU
решено ФорумSecurity

Безопасность puppet-клиента


0

1

Доброго времени суток.

Сабж. Существует ли какие-нибудь статьи на эту тему? В официальной документации эта тема достаточно туманна.

Т.е. понятно, что сервер подписывает сертификаты клиентов и неизвестно кому каталог не отдаст. Но вот защищён ли клиент от подмены сервера?

★★★★★
[plugin?] psi encryption history
Уязвимости в tarsnap - сервисе хранения бекапов для параноиков

Чем подменённый сервер с валидными сертификатами будет отличаться от настоящего?

Lumi ★★★★★
()

>Но вот защищён ли клиент от подмены сервера?

Никто ни от чего не защищен, в общем-то. Но подменить сервер с сертификатом достаточно трудоемкая задача.

madcore ★★★★★
()
Ответ на: комментарий от Lumi

Гораздо интереснее, среагирует ли puppet-клиент на подмену сервера (с другим, разумеется, сертификатом) хоть как нибудь, или же тупо запросит новый сервер подписать клиентский сертификат повторно и затем применит предложенный конфиг

router ★★★★★
() автор топика
Ответ на: комментарий от madcore

А если не подделывать/красть сертификат, а создать поддельный сервер со своим собственным, новым сертификатом?

При первом запуске puppet отправляет на сервер запрос сертифката. Если подменить сервер после этого, обнаружит ли puppet-клиент подмену или повторно выполнит запрос клиентского сертификата? Вот что интересно

router ★★★★★
() автор топика
Ответ на: комментарий от Lumi

Голова другим была забита. Сейчас проверил - запроса не посылает, ругается на сертификат

Jan 17 14:58:28 anonymous puppet-agent[1268]: Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed

Т.е. всё в порядке :)

router ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[plugin?] psi encryption history
Security
Уязвимости в tarsnap - сервисе хранения бекапов для параноиков