bytes.cat

La wiki d'FP d'informàtica

Eines de l'usuari

Eines del lloc

Camí:
docker_swarm_secrets

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Ambdós costats versió prèvia Revisió prèvia
Següent revisió 		Revisió prèvia
docker_swarm_secrets [2022/07/08 23:40]
juan_jose_hernandez [[OPCIONS]] 		docker_swarm_secrets [2022/07/27 18:03] (actual)
enrique_mieza_sanchez [Docker Swarm: emmascarament de claus i altres secrets]
Línia 3: Línia 3:
 Prerequisits: conèixer [[Docker]] i [[Docker Swarm]]. Prerequisits: conèixer [[Docker]] i [[Docker Swarm]].
  
 +{{tag> #FpInfor #Ciber #CiberMp03 #Ceti #CetiMp03 docker swarm contenidors lxc DevOps }}
  
-====== Introducció: Entendre l'importancia de l'emmascarament ======+====== Importancia vital de l'emmascarament ======
  
-L'emmascarament de claus a nivell d'Administració de Sistemes és de vital importancia. +L'emmascarament de claus a nivell d'Administració de Sistemes és de vital importancia. Es un fet demostrat estadísticamentque els atacs amb objectiu de obtenir dades sensibles, es produeix amb més èxit desde l'interior de les organizacións, que no pas desde l'exterior.
-Es un fet demostrat estadísticament que els atacs amb objectiu de obtenir dades sensibles, es produeix amb més èxit desde l'interior de les organización que no pas desde l'exterior.+
  
-Degut a aquest perill, les claus d'accés a serveisd'identificació d'usuaris i cualsevol alta dada considerada secreta, és inconvenient sigui emmagatzemada en clar. +Degut a aquest perill, les claus d'accés a serveis d'identificació d'usuaris i cualsevol alta dada considerada secreta, és inconvenient sigui emmagatzemada en clar (es llelleixi directament).
  
-El repte consisteix sempre en mantenir organitzada la informació i continguda dintre de l'àmbit adient. +El repte consisteix en mantenir organitzada la informació i continguda dintre de l'àmbit adient.
  
 El problema moltes vegades, es que sengon la sensibilitat o interés de una persona o grup, una clau privada por ser de domini públic fàcilment. El problema moltes vegades, es que sengon la sensibilitat o interés de una persona o grup, una clau privada por ser de domini públic fàcilment.
  
-Un altre problema similar es que els paràmetres de crida a processos poden ser deduïblesinclus per un usuari de un sistema Web el mateix primer dia que el fa servir.+Un altre problema similar són els paràmetres de crida a processos, que per deducció aporten molta informació al atacants de sistemes. El atacants poden ser molts i organitzatssient preparats per la seva particular inauguració; El mateix dia de posta en producció d'un entorn productiu públic pot patir atacs-de-dia-cero, degut principalment a la visibilitat de paràmetres i deficiencia en l’emmascarament de secrets
  
-En l'entorn d'ensenyament aixó por esdevenir en que un alumne perdi la privacitat d'accés al seu espai cloud, que un profesor tingui seguidors anònims del seu treball (especialment d'exàmens que prepara) o qualsevol altre alteració de àmbit al què pertany una l'informació. 
  
-En en menys d'un any lectiu, un equip de l'àmbit d'ensenyament, pot trovarse directa o indirectament, amb aquesta varietat de casos (Exemples):+En l'entorn d'ensenyament aixó por esdevenir en que un alumne perdi la privacitat d'accés al seu espai cloud, que un profesor tingui seguidors anònims del seu treball (especialment d'exàmens que prepara) o qualsevol altre alteració de l’àmbit al què pertany una l'informació. 
 +En en menys d'un any lectiu, un equip d'ensenyament, pot trobar-se directa o indirectament, amb aquesta varietat de casos (exemples amb justificacions): 
  
 ==== Alumnes en defensa de les seves qualificacions. ==== ==== Alumnes en defensa de les seves qualificacions. ====
  
   * Alumn@ capaç de llegir el teclat en el moment d'introduir una contrasenya.   * Alumn@ capaç de llegir el teclat en el moment d'introduir una contrasenya.
-  * Alumn@ entra en compt@ d'un altr@ i esborra part de la seva informació al cloud. +  * Alumn@ entra en compte d'un altre i esborra part de la seva informació al cloud. 
-  * Alumn@ fa servir contrasenya per suplantar identitat d'un professor/i enviar eMails malèfics inclus a alumnes+  * Alumn@ fa servir contrasenya per suplantar identitat d'un professor/enviant eMails malèfics inclus a alumn@s
-  * Alumn@ de primer de cicle acumula en el seu espai al nuvol entregues de companys i a mes ja té en el seu poder documents de cursos mitjos, per fer servir en el futur. +  * Alumn@ de primer de cicleacumula en el seu espai al núvol entregues de companys i a mes ja té en el seu poder documents de cursos superiors, per fer servir en el futur. 
-  * Alumn@s de cicle superior organitzats, cadascú amb el seu rol, per accedir periòdicament a l'ordinador del profe i als recursos. Rols tipus: un vigila en el canvi de profe, altre proveeix sistema de copia (pendrive, disc extern), altre desbloqueja amb usuari genéric el PC d'aula que es un element compartit.  +  * Alumn@s de cicle superior organitzats, cadascú amb el seu rol, per accedir periòdicament a l'ordinador del profe i als recursos. Rols tipus:  
-Els seus objectius l’acces periòdic la l’ informació de tot tipus que manegem els profes: Activitats que preparem en calent +  * Un alumn@ vigila el canvi de prof@ al passadís. 
-Activitats que corregim ja entregades d'aquell curs +  * Altre proveeix sistema de copia (pendrive, disc extern)
-Activitats de cicles inferiors.+  * Altre desbloqueja amb usuari genèric el PC d'aulaque es un element compartit. Pot ser inclùs han escalat permisos en aquesta màquina clau, donat és sempre al seu abast. 
 + 
 +  
 +Els objectius son clars: 
 +  * Activitats que es preparem en calent a l'aula. 
 +  Activitats que corregim (en general, donat qualsevol informació del PC del prof@ es d'un ambit superior). 
 +  * Promoure l'intercanvi d'informacions a canvi d'altres informacions o bens no quantificables de tota índole. 
 + 
 +==== Prof@s en defensa de l'educació dels alumn@s====
  
-==== Profesors en defensa de l'educació dels alumn@s====+  * Hem d'anar d'un aula a l'altre, en temps record (5 minuts). 
 +  * Deixem esporàdicament l'ordinador d'aula engegat, pel pròxim profe. 
 +  * Eventualment oblidem el nostre cloud connectat. 
 +  * Eventualment no bloquegem el nostre terminal i marxem. 
 +  * La sensibilitat de les dades que manegem es alta, però el medi ni l'entorn faciliten la protecció (Aquí n'hi ha molta feina pendent en l'àmbit de direcció d'ensenyament).
  
-Hem d'anar d'un aula a l'altre, en temps record (5 minuts). 
-Deixem esporàdicament ordinador d'aula engegat pel pròxim profe. 
-Eventualment oblidem el nostre cloud connectat. 
-Eventualment no bloquem el nostre terminal i marxem. 
-La sensibilitat de les dades que manegem es alta però el medi ni l'entorn faciliten la protecció. 
  
 +¿Que esdevé quan un curs docent termina?
  
-¿Que passa quan un curs docent termina?+Una ingent quantitat d'informació de persones, proves avaluatòries i material docent son on no haurien de ser. En el millor del casos queden dins de l'entorn educatiu, però em de preocuparnos de tot lo que ha sortit.
  
-Una ingent quantitat d'informació de persones, proves avaluatòries i material docent son on no haurien de ser. En el millor del casos queden dins de l'entorn educatiu.  
 Pensem maleficament ara: Pensem maleficament ara:
 +  * Alumnes i la metadata dels documents identifiquen als alumnes. 
 +  * Professors manegen fitxers amb noms d'alumnes e inclus números d'identificació personals.
 +  * Persones dels dos àmbits (alumne@s i prof@s) amb SDD (Síndrome-de-Diógenes-Digital): fan backup de tot, en medis suposadament segurs, que abans o després deixen de ser-ho.
 +  * Alumnes i professors d'àmbits remots, tornen als seus jocs d'origen: inclús abans d'acabar el curs e inclus amb qualificacions aceptables, si més no sense gaire justificació.
  
-* Alumnes i la metadata dels documents identifiquen als alumnes.  
-* Professors manegen fitxers amb noms d'alumnes e inclus números d'identificació personals. 
-* Persones dels dos àmbits (alumnes i professors) amb SDD (Sindrom-de-Diogenes-Digital) fan backup de tot, en medis suposadament segurs.  
-* Alumnes i professors d'àmbits remots tornen als seus jocs d'origen, inclús abans d'acabar el curs e inclus traient qualificacions aceptables. 
  
  
-Després no es de sobtar que:+Després no ens ha de sobtar que:
  
-  * Gran part dels atacks ransomware es produeixin en períodes vacacionals.+  * Gran part dels attacks ransomwarees produeixin en períodes vacacionals.
   * La nostra informació sigui en fitxers per //fishing//.   * La nostra informació sigui en fitxers per //fishing//.
-  * Ens facin trucades estranyes e insistents de serveis de qualsevol mena que no en volempero que tractem d' evitar donant un munt d'informació del nostre entorn o domicili. +  * Ens facin trucades estranyes e insistents de serveis de qualsevol menaque no en volem pero que tractem d' evitar donant un munt d'informació del nostre entorn o domicili. 
-  * Hi ha inclus qui contesta enquestes telefòniques avui día.+  * Hi ha inclus qui contesta enquestes telefòniquesavui día
 +  * ??? 
 +  * ...
  
  
-¿Que podem fer com a tècnics, desenvolupadors, professors, etc?+¿Que podem fer com a tècnics, desenvolupadors, prof@s, etc?
  
   * Invertir sempre que es fan canvis en vetllar per la seguretar. Proactivament.   * Invertir sempre que es fan canvis en vetllar per la seguretar. Proactivament.
Línia 68: Línia 78:
   * Si el forat és massa gran, escalar el problema ràpidament.   * Si el forat és massa gran, escalar el problema ràpidament.
   * Si els nostres iguals, no consideren sigui prioritari i urgent, hem d'escalar la petició d'ajut per varis canals per tal de forçar una actuació higiénica.   * Si els nostres iguals, no consideren sigui prioritari i urgent, hem d'escalar la petició d'ajut per varis canals per tal de forçar una actuació higiénica.
- +  * ??? 
 +  * ...
  
 ---- ----
  
  
-===== Part tècnica de "Docker Swarm: emmascarament de claus i altres secrets" =====+===== Part tècnica =====
  
  
Línia 112: Línia 122:
 Aquesta ordre funciona amb l'orquestrador Swarm. Aquesta ordre funciona amb l'orquestrador Swarm.
  
- $docker swarm join-token [OPCIONS] (worker|manager)+ ''$docker swarm join-token [OPCIONS] (worker|manager)''
  
 ==== Descripció ==== ==== Descripció ====
Línia 123: Línia 133:
 Els nodes utilitzen el //token// només quan s'uneixen al //swarm//. Els nodes utilitzen el //token// només quan s'uneixen al //swarm//.
  
-=== Avís ===+==== Important! ==== 
 + 
 +Aquesta es una comanda de gestió del cluster i s'ha d'executar en el gestor de nodes swarm.
  
-Aquesta es una comanda de gestió del cluster i s'ha d'executar en el gestor de nodes //swarm//. 
  
 ==== [OPCIONS] ==== ==== [OPCIONS] ====
  
-"--quiet",  només mostra el //token//+''--quiet''   només mostra el //token//
-"-q       mateix efecte que "--quiet"+''-q''        mateix efecte que ''--quiet''
-"--rotate Rotació del //token// d'unió.+''--rotate''  Rotació del //token// d'unió.
  
  
-"--rotate":+''--rotate'':
  
 Com que els //tokens// permeten que nous nodes s'uneixin al swarm, hauríeu de mantenir-los en secret. Aneu especialment amb compte amb els //tokens// de gestor, ja que permeten que nous nodes de gestor s'uneixin al swarm.  Com que els //tokens// permeten que nous nodes s'uneixin al swarm, hauríeu de mantenir-los en secret. Aneu especialment amb compte amb els //tokens// de gestor, ja que permeten que nous nodes de gestor s'uneixin al swarm. 
Línia 165: Línia 176:
  
  
- +{{tag> #FpInfor #Ceti #CetiMp03 #Ciber #CiberMp03 #CiberMp01 #Ceti #CetiMp01 #docker #swarm #secrets #secret #contenidors #traefik #load_#balancer #DevOps}}
-{{tag> #FpInfor #Ceti #CetiMp03 #Ciber #CiberMp03 docker swarm secrets secret contenidors traefik load_balancer DevOps}}+
  
 \\ \\
  
docker_swarm_secrets.1657323658.txt.gz · Darrera modificació: 2022/07/08 23:40 per juan_jose_hernandez

Eines de la pàgina

Excepte on es digui una altra cosa, el contingut d'aquest wiki està subjecte a la llicència següent: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki