Discussioni sul sistema operativo Linux
 

CA per uso interno: voi cosa fareste?

Max_Adamo 8 Ago 2015 20:36
di recente ho messo alcuni cluster Galera dietro F5 e tutto funziona alla
grande. Unico inghippo: la connessione a MySQL è NATtata.
Pertanto, devo dire al DB che le connessioni <ip_loadbalancer>@<db_schema>
devono essere consentite. L'F5 dal canto suo non ha un firewall e ne
consegue che chiunque può collegarsi.
Ho messo le mani avanti con gli sviluppatori e ho detto che avrei ovviato
implementando delle connessioni SSL. Detto fatto: ho creato certificati
client, certificati server, ma, per farlo ho usato una CA non "autentica".
L'ho fatto un po' anche per pigrizia... perché abbiamo un computer in una
cassaforte in un edificio adiacente, che usiamo per create i certificati.
Ho fornito i dettagli ad alcuni sviluppatori e mi è stato detto che "non
va bene..."

- Per connettersi è necessario il certificato client.
- La comunicazione è criptata sulla rete interna.
- Le credenziali sono memorizzate su dei ******* yaml in git, ma sono
criptate con eyaml e la chiave di decriptazione è sul puppet-master (sul
quale solo 4 gatti hanno accesso).

Spassionatamente, secondo voi hanno ragione gli sviluppatori, o stanno
solo provando a rompermi i vaglioni? :)

Diciamo che tra diversi gruppi di sviluppatori, solo uno forza
continuamente la mano e prova a scocciarmi in tutti i modi. Vorrei quindi
capire se è corretto continuare sulla mia linea è dirgli sempre più
chiaramente: jativinne

gracias :)

p.s.: diciamo che qualcuno con accesso a hiera, potrebbe usare quei valori
per assegnarli una macchina, e farli decriptare al puppet-master, senza
dover ricorrere ad attacchi particolari... ma siamo sempre nell'ambito
delle persone che hanno accesso privilegiato ai sistemi.

--
Massimiliano Adamo

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sul sistema operativo Linux | Tutti i gruppi | it.comp.os.linux.sys | Notizie e discussioni linux | Linux Mobile | Servizio di consultazione news.