Security

Capistrano 安全

  • March 17, 2011

我們在某些​​系統中使用 Capistrano 作為部署系統。我們的新系統管理員說我們的設置非常危險,我想知道如何修復它。

我們有一個名為“foo”的部署使用者,我們用它來進行部署“:

cap deploy

這個 foo 使用者能夠重新啟動 apache,清理 tmp 文件等等。

問題是,如果有人竊取了我們的私有 ssh 密鑰並以 foo 使用者身份訪問我們的機器,就能夠關閉該網站。

ssh foo@server <-- Able to shutdown apache!

我們如何解決這個安全漏洞?

是否有其他解決方案需要考慮?

我要補充的一件事是最好將 foo guy 排除在 ssh 登錄之外我的意思是作為使用者“superman”連接到伺服器,然後使用su foo成為 foo 使用者並執行任何命令你要

使用這種方式,攻擊者需要密碼/私鑰才能使用 capistrano。如果他是私鑰,他可以連接到伺服器但不能執行 capistrano。如果他有密碼,他甚至無法連接到伺服器,因為不允許使用者 foo 登錄。

引用自:https://serverfault.com/questions/171918