Security
Capistrano 安全
我們在某些系統中使用 Capistrano 作為部署系統。我們的新系統管理員說我們的設置非常危險,我想知道如何修復它。
我們有一個名為“foo”的部署使用者,我們用它來進行部署“:
cap deploy
這個 foo 使用者能夠重新啟動 apache,清理 tmp 文件等等。
問題是,如果有人竊取了我們的私有 ssh 密鑰並以 foo 使用者身份訪問我們的機器,就能夠關閉該網站。
ssh foo@server <-- Able to shutdown apache!
我們如何解決這個安全漏洞?
是否有其他解決方案需要考慮?
我要補充的一件事是最好將 foo guy 排除在 ssh 登錄之外我的意思是作為使用者“superman”連接到伺服器,然後使用
su foo
成為 foo 使用者並執行任何命令你要使用這種方式,攻擊者需要密碼/私鑰才能使用 capistrano。如果他是私鑰,他可以連接到伺服器但不能執行 capistrano。如果他有密碼,他甚至無法連接到伺服器,因為不允許使用者 foo 登錄。