我使用Ansible来管理容器。我希望确保在部署时遵循用户的最佳做法。在那个说明:
become: yes
become:method: sudo
我应该在主机上部署新用户吗?与#1相关,我可以修改此用户的sudoers访问以允许apt和其他包,但这是相当多的工作,并且可能随着模块的改变而改变。如果需要,它将允许我将用户与SSH访问隔离开来。
我不了解应该遵循的其他做法(在安全性方面)应用配置管理系统。我错过了什么吗?
答案 0 :(得分:0)
我们当前禁止使用become,而不是绝对必要的,而是以访问服务器的用户(例如user1)运行我们的Playbooks,并使用-b标志来强制执行sudo应用程序。
这有助于:
-b标志(即:一个额外的"安全" - 你可以将它与语句&#34进行比较;你应该是root的当你不需要")时的linux盒子。-b的剧本进行检查模式。它将告诉您是否需要在该服务器上执行任何操作而不执行任何操作。