Место хранения и назначение главного ключа секретного диска
Обновлено: 21.11.2024
Плагины обычно хранят учетные данные пользователей и аналогичные секреты, такие как ключи API, токены доступа или просто имена пользователей и пароли, для взаимодействия с другими системами и службами. Плагины, которые хранят такие секреты, должны быть осторожны при их хранении. С простыми строковыми полями, которые сериализуются на диск как обычный текст, может возникнуть ряд проблем:
Во многих системах большая часть домашнего каталога Jenkins доступна другим учетным записям пользователей, что позволяет получать учетные данные, хранящиеся на диске, в виде обычного текста.
Резервные копии дома Дженкинса могут быть скомпрометированы, что приведет к раскрытию секретов, даже если исключить каталог secrets/.
Строковые поля передаются в формах конфигурации как обычный текст, даже если значение скрыто в поле пароля, поэтому к ним можно получить доступ через исходный код HTML-страницы. Это относится даже к пользователям, у которых есть только расширенное разрешение на чтение.
Самое простое решение для всего вышеперечисленного — сохранить пароль как секрет.
Ключ для расшифровки секретов хранится в каталоге secrets/ с максимальной защитой, и его рекомендуется исключить из резервных копий.
Секретные поля передаются в зашифрованном виде, поэтому пользователи не могут получить их в виде обычного текста позже. Если у пользователя есть только расширенное разрешение на чтение, секрет просто удаляется из вывода.
Более продвинутый вариант — интеграция с подключаемым модулем Credentials. См. его документацию для получения дополнительной информации.
Сохранение секретов на диске
Самый простой способ сохранить секреты — это сохранить их в поле типа Secret и получить доступ к этому полю в другом коде с помощью метода получения, который возвращает тот же тип. Jenkins будет прозрачно обрабатывать шифрование и дешифрование для хранения на диске.
Пример использования секрета, общего для всех экземпляров шага сборки, приведен ниже.
1 | Чтобы использовать пароль, получите обычный текст. |
2 | Секрет поле будет хранить пароль в зашифрованном виде на диске. |
3 | Геттер секрета, если он используется полем формы f:password (ниже), будет округлять отключить пароль в пользовательском интерфейсе в зашифрованном виде и скрыть его от пользователей без разрешения Configure. |
Секреты и формы конфигурации
В форме конфигурации отображать сам секрет (а не расшифрованный секрет), скрытый в поле. Это требует, чтобы геттер или общедоступное поле, используемое для заполнения элемента формы, также было секретом (см. выше).
Как я могу аутентифицировать или разблокировать съемный диск с данными?
Вы можете разблокировать съемные диски с данными с помощью пароля, смарт-карты или настроить средство защиты SID для разблокировки диска с помощью учетных данных вашего домена. После того, как вы запустили шифрование, диск также может быть автоматически разблокирован на конкретном компьютере для определенной учетной записи пользователя. Системные администраторы могут настраивать параметры, доступные для пользователей, а также требования к сложности и минимальной длине пароля. Чтобы разблокировать с помощью предохранителя SID, используйте Manage-bde:
Manage-bde -protectors -add e: -sid домен\имя пользователя
В чем разница между паролем восстановления, ключом восстановления, PIN-кодом, расширенным PIN-кодом и ключом запуска?
Таблицы, в которых перечислены и описаны такие элементы, как пароль восстановления, ключ восстановления и ПИН-код, см. в разделе Предохранители ключей BitLocker и методы проверки подлинности BitLocker.
Как можно сохранить пароль и ключ восстановления?
Пароль восстановления и ключ восстановления для диска операционной системы или фиксированного диска с данными можно сохранить в папке, на одном или нескольких USB-устройствах, сохранить в вашей учетной записи Microsoft или распечатать.
Для съемных носителей данных пароль восстановления и ключ восстановления можно сохранить в папке, сохранить в своей учетной записи Microsoft или распечатать. По умолчанию вы не можете хранить ключ восстановления для съемного диска на съемном диске.
Администратор домена может дополнительно настроить групповую политику для автоматического создания паролей восстановления и их хранения в доменных службах Active Directory (AD DS) для любого диска, защищенного BitLocker.
Можно ли добавить дополнительный метод аутентификации без расшифровки диска, если у меня включен только метод аутентификации TPM?
Вы можете использовать средство командной строки Manage-bde.exe, чтобы заменить режим проверки подлинности только TPM режимом многофакторной проверки подлинности. Например, если BitLocker включен только с аутентификацией TPM и вы хотите добавить аутентификацию с помощью PIN-кода, используйте следующие команды из командной строки с повышенными привилегиями, заменив числовой PIN-код из 4-20 цифр на числовой PIN-код, который вы хотите использовать:
manage-bde –protectors –delete %systemdrive% -type tpm
manage-bde –protectors –add %systemdrive% -tpmandpin 4-20-значный цифровой PIN-код
Когда следует рассмотреть дополнительный метод аутентификации?
Новое оборудование, отвечающее требованиям программы совместимости оборудования Windows, делает ПИН-код менее критичным в качестве средства смягчения последствий, а в сочетании с такими политиками, как блокировка устройства, скорее всего, достаточно иметь только TPM-предохранитель. Например, Surface Pro и Surface Book не имеют внешних портов DMA для атаки. Для более старого оборудования, где может потребоваться PIN-код, рекомендуется включить расширенные PIN-коды, которые позволяют использовать нечисловые символы, такие как буквы и знаки препинания, а также установить длину PIN-кода в зависимости от вашей допустимости риска и аппаратных возможностей защиты от взлома, доступных для TPM на ваших компьютерах.
Если я потеряю информацию для восстановления, будут ли данные, защищенные с помощью BitLocker, невосстановимыми?
BitLocker предназначен для обеспечения невозможности восстановления зашифрованного диска без обязательной проверки подлинности. В режиме восстановления пользователю потребуется пароль восстановления или ключ восстановления, чтобы разблокировать зашифрованный диск.
Сохраните информацию для восстановления в доменных службах Active Directory вместе с вашей учетной записью Microsoft или в другом безопасном месте.
Можно ли использовать флэш-накопитель USB, используемый в качестве ключа запуска, для хранения ключа восстановления?
Хотя это технически возможно, не рекомендуется использовать один USB-накопитель для хранения обоих ключей. Если флэш-накопитель USB, содержащий ключ запуска, утерян или украден, вы также потеряете доступ к ключу восстановления. Кроме того, вставка этого ключа приведет к автоматической загрузке компьютера с ключа восстановления, даже если файлы, измеренные TPM, изменились, что позволяет обойти проверку целостности системы TPM.
Можно ли сохранить ключ запуска на нескольких USB-накопителях?
Да, ключ запуска компьютера можно сохранить на нескольких флэш-накопителях USB. Щелкнув правой кнопкой мыши на диске, защищенном с помощью BitLocker, и выбрав «Управление BitLocker», вы получите возможность дублировать ключи восстановления по мере необходимости.
Можно ли сохранить несколько (разных) ключей запуска на одном USB-накопителе?
Да, вы можете сохранить ключи запуска BitLocker для разных компьютеров на одном USB-накопителе.
Можно ли сгенерировать несколько (разных) ключей запуска для одного и того же компьютера?
Вы можете создавать разные ключи запуска для одного и того же компьютера с помощью сценариев. Однако для компьютеров с доверенным платформенным модулем создание разных ключей запуска не позволяет BitLocker использовать проверку целостности системы доверенного платформенного модуля.
Можно ли сгенерировать несколько комбинаций PIN-кода?
Вы не можете создать несколько комбинаций PIN-кода.
Какие ключи шифрования используются в BitLocker? Как они работают вместе?
Необработанные данные шифруются с помощью полного ключа шифрования тома, который затем шифруется с помощью главного ключа тома. Главный ключ тома, в свою очередь, шифруется одним из нескольких возможных методов в зависимости от вашей аутентификации (то есть предохранителей ключей или доверенного платформенного модуля) и сценариев восстановления.
Где хранятся ключи шифрования?
Ключ шифрования полного тома шифруется главным ключом тома и хранится на зашифрованном диске. Главный ключ тома шифруется соответствующим предохранителем ключа и хранится на зашифрованном диске. Если BitLocker был приостановлен, чистый ключ, используемый для шифрования главного ключа тома, также хранится на зашифрованном диске вместе с главным ключом зашифрованного тома.
Этот процесс хранения гарантирует, что главный ключ тома никогда не будет храниться в незашифрованном виде и будет защищен, если вы не отключите BitLocker. Ключи также сохраняются в двух дополнительных местах на диске для резервирования. Ключи могут быть прочитаны и обработаны диспетчером загрузки.
Клавиши от F1 до F10 — это универсальные скан-коды, доступные в предзагрузочной среде на всех компьютерах и на всех языках. Цифровые клавиши от 0 до 9 нельзя использовать в предзагрузочной среде на всех клавиатурах.
При использовании расширенного PIN-кода пользователям следует выполнить дополнительную проверку системы во время процесса установки BitLocker, чтобы убедиться, что PIN-код можно ввести правильно в предзагрузочной среде.
Как BitLocker помогает предотвратить обнаружение злоумышленником PIN-кода, который разблокирует диск моей операционной системы?
Возможно, что личный идентификационный номер (PIN) может быть обнаружен злоумышленником, выполняющим атаку методом грубой силы. Атака грубой силы происходит, когда злоумышленник использует автоматизированный инструмент для проверки различных комбинаций PIN-кода, пока не будет обнаружена правильная. Для компьютеров, защищенных BitLocker, этот тип атаки, также известный как атака по словарю, требует, чтобы злоумышленник имел физический доступ к компьютеру.
TPM имеет встроенную возможность обнаруживать такие типы атак и реагировать на них. Поскольку доверенные платформенные модули разных производителей могут поддерживать разные ПИН-коды и средства защиты от атак, обратитесь к производителю доверенного платформенного модуля, чтобы узнать, как доверенный платформенный модуль вашего компьютера предотвращает атаки методом подбора ПИН-кода. После того, как вы определили производителя вашего TPM, обратитесь к производителю, чтобы собрать информацию о поставщике TPM.Большинство производителей используют счетчик неудачных попыток аутентификации с помощью ПИН-кода, чтобы экспоненциально увеличить время блокировки интерфейса с ПИН-кодом. Однако у каждого производителя свои правила в отношении того, когда и как уменьшать или сбрасывать счетчик отказов.
Как определить производителя моего TPM?
Вы можете определить производителя вашего TPM в Центре безопасности Защитника Windows > Безопасность устройства > Сведения об процессоре безопасности.
Как я могу оценить механизм защиты от словарных атак TPM?
Следующие вопросы могут помочь вам, когда вы спрашиваете производителя TPM о разработке механизма защиты от атаки по словарю:
- Сколько неудачных попыток авторизации может произойти до блокировки?
- Каков алгоритм определения продолжительности блокировки на основе количества неудачных попыток и любых других соответствующих параметров?
- Какие действия могут привести к уменьшению или сбросу количества сбоев и длительности блокировки?
Можно ли управлять длиной и сложностью PIN-кода с помощью групповой политики?
Да и Нет. Вы можете настроить минимальную длину персонального идентификационного номера (ПИН) с помощью параметра групповой политики Настроить минимальную длину ПИН для запуска и разрешить использование буквенно-цифровых ПИН, включив параметр групповой политики Разрешить расширенные ПИН для запуска. Однако вы не можете требовать сложности PIN-кода с помощью групповой политики.
Ваш файл базы данных KeePass зашифрован с помощью главного ключа. Этот мастер-ключ может состоять из нескольких компонентов: мастер-пароля, файла ключа и/или ключа, защищенного с помощью текущей учетной записи пользователя Windows.
Для открытия файла базы данных требуются все компоненты главного ключа.
Если вы забудете/потеряете какой-либо из компонентов главного ключа (или забудете состав), все данные, хранящиеся в базе данных, будут потеряны. Нет бэкдора и универсального ключа, который может открыть вашу базу данных.
Мастер-пароль
Если вы используете мастер-пароль, вам нужно запомнить только один пароль или кодовую фразу (что должно быть хорошо!), чтобы открыть базу данных.
KeePass обеспечивает защиту от атак методом грубой силы и атак по словарю; подробности см. на странице справки по безопасности.
Ключевой файл
Файл ключа – это файл, содержащий ключ (и, возможно, дополнительные данные, например хэш, позволяющий проверить целостность ключа). Расширение файла обычно "keyx" или "key".
Файл ключа нельзя изменять, иначе вы больше не сможете открыть базу данных. Если вы хотите использовать другой файл ключа, откройте диалог смены мастер-ключа (через «Файл» → «Изменить мастер-ключ») и создайте/выберите новый файл ключа.
Двухфакторная защита. Файл ключа — это то, что вы должны иметь, чтобы иметь возможность открывать базу данных (в отличие от мастер-пароля, который вы должны знать). Если вы используете и ключевой файл, и мастер-пароль, у вас есть двухфакторная защита: владение и знание.
Местоположение. Как упоминалось выше, идея файла ключа заключается в том, что у вас есть что-то. Если злоумышленник получает и ваш файл базы данных, и ваш ключевой файл, то ключевой файл не обеспечивает никакой защиты. Поэтому два файла должны храниться в разных местах. Например, вы можете сохранить файл ключа на отдельном USB-накопителе.
Скрытие местоположения. Ключевой файл content должен храниться в секрете, а не его местоположение (путь/имя файла). Попытка скрыть ключевой файл (например, сохранив его среди тысячи других файлов в надежде, что злоумышленник не будет знать, какой файл является правильным) обычно не повышает безопасность, поскольку найти правильный файл несложно. (например, проверив время последнего доступа к файлам, списки недавно использованных файлов операционной системы, журналы аудита файловой системы, журналы антивирусного программного обеспечения и т. д.). В KeePass есть опция запоминания путей к ключевым файлам, которая по умолчанию включена; его отключение обычно снижает удобство использования без повышения безопасности.
Резервное копирование. Вы должны создать резервную копию вашего ключевого файла (на независимом устройстве хранения данных). Если ваш ключевой файл представляет собой XML-файл (что используется по умолчанию), вы также можете создать резервную копию на бумаге (KeePass 2.x предоставляет команду для печати резервной копии ключевого файла в меню «Файл» → «Печать»). В любом случае резервная копия должна храниться в безопасном месте, доступ к которому есть только у вас и, возможно, у нескольких других людей, которым вы доверяете. Дополнительные сведения о резервном копировании файла ключа можно найти в разделе часто задаваемых вопросов по политике безопасности.
Форматы. KeePass поддерживает следующие форматы файлов ключей:
- XML (рекомендуется, по умолчанию). Существует формат XML для файлов ключей. KeePass 2.x использует этот формат по умолчанию, т.е. при создании файла ключа в диалоге мастер-ключа создается файл ключа XML. Синтаксис и семантика формата XML позволяют обнаруживать определенные искажения (особенно вызванные неисправным оборудованием или проблемами передачи), а хэш (в ключевых файлах XML версии 2.0 или выше) позволяет проверить целостность ключа. Этот формат устойчив к большинству кодировок и изменений символов новой строки (что полезно, например, когда пользователь открывает и сохраняет файл ключа или передает его с/на сервер). Такой ключевой файл можно распечатать (в качестве резервной копии на бумаге), а в файл можно добавить комментарии (с обычным синтаксисом XML: ). Это самый гибкий формат; новые функции могут быть легко добавлены в будущем.
- 32 байта. Если файл ключа содержит ровно 32 байта, они используются как 256-битный криптографический ключ. Для этого формата требуется минимум места на диске.
- Шестнадцатеричный. Если файл ключа содержит ровно 64 шестнадцатеричных символа (0–9 и A–F в кодировке UTF-8/ASCII, одна строка без пробелов), они декодируются в 256-битный криптографический ключ.
- Хэш. Если файл ключа не соответствует ни одному из указанных выше форматов, его содержимое хешируется с помощью криптографической хеш-функции для создания ключа (обычно это 256-битный ключ с SHA-256). Это позволяет использовать произвольные файлы в качестве файлов ключей.
Повторное использование. Вы можете использовать один ключевой файл для нескольких файлов базы данных. Это может быть удобно, но имейте в виду, что когда злоумышленник получит ваш файл ключа, вам придется изменить главные ключи всех файлов базы данных, защищенных этим файлом ключа.
Чтобы повторно использовать существующий файл ключа, нажмите кнопку со значком "Сохранить" в диалоговом окне создания главного ключа и выберите существующий файл. После принятия диалогового окна KeePass спросит, следует ли перезаписать или повторно использовать файл (см. снимок экрана).
Чтобы повторно использовать существующий файл ключа, нажмите кнопку "Обзор" в диалоговом окне создания главного ключа.
Учетная запись пользователя Windows
KeePass 1.x не поддерживает шифрование баз данных с использованием учетных данных учетной записи пользователя Windows. Поддерживает только KeePass 2.x и выше.
KeePass может сделать базу данных зависимой от текущей учетной записи пользователя Windows. Если вы включите этот параметр, вы сможете открыть базу данных, только если вы вошли в систему как тот же пользователь Windows, что и при создании базы данных.
Вы можете свободно изменить пароль учетной записи пользователя Windows; это не влияет на базу данных KeePass. Обратите внимание, что изменение пароля (например, пользователь с помощью панели управления или нажав Ctrl + Alt + Del и выбрав «Изменить пароль») и сброс его на новый (например, администратор, использующий команду NET USER) — это две разные вещи. После изменения пароля вы по-прежнему можете открывать базу данных KeePass. При сбросе пароля на новый доступ, как правило, больше невозможен (поскольку ключи DPAPI пользователя потеряны), но есть исключения (например, когда пользователь находится в домене, Windows может получить ключи DPAPI пользователя с контроллера домена, или домашний пользователь может использовать ранее созданный диск для сброса пароля). Подробности можно найти в статье MSDN о защите данных Windows и в статье службы поддержки Устранение неполадок API защиты данных (DPAPI).
Если вы решите использовать этот вариант, настоятельно рекомендуется не полагаться исключительно на него, а дополнительно использовать один из двух других вариантов (пароль или файл ключа).
Защита с использованием учетных записей пользователей не поддерживается в Windows 98/ME.
Для администраторов: указание минимальных свойств мастер-ключей
Администраторы могут указать минимальную длину и/или минимальное предполагаемое качество мастер-пароля, которое должно быть принято. Вы можете попросить KeePass проверить эти два минимальных требования, добавив/изменив соответствующие определения в файле конфигурации INI/XML.
Значение ключа KeeMasterPasswordMinLength может содержать минимальную длину мастер-пароля в символах. Например, если указать KeeMasterPasswordMinLength=10 , KeePass будет принимать только мастер-пароли, содержащие не менее 10 символов.
Значение ключа KeeMasterPasswordMinQuality может содержать минимальное предполагаемое качество в битах, которое должно быть у мастер-паролей. Например, если указать KeeMasterPasswordMinQuality=64 , будут приниматься только мастер-пароли с расчетным качеством не менее 64 бит.
Значение узла Security/MasterPassword/MinimumLength указывает минимальную длину мастер-пароля (в символах). Например, установив для него значение 10 , KeePass будет принимать только мастер-пароли, состоящие не менее чем из 10 символов.
Значение узла Security/MasterPassword/MinimumQuality определяет минимальное предполагаемое качество (в битах), которое должно быть у мастер-паролей. Например, если задать значение 80 , будут приниматься только мастер-пароли с расчетным качеством не менее 80 бит.
Узел Security/MasterKeyExpiryRec может быть установлен на дату XSD или продолжительность XSD (см. Типы данных даты и времени XSD). Если мастер-ключ не менялся с указанной даты или если промежуток времени между настоящим моментом и последним изменением мастер-ключа превышает указанную продолжительность, KeePass рекомендует изменить его.Этот параметр применяется ко всем базам данных, которые открываются этим экземпляром KeePass; Срок действия мастер-ключа также можно настроить для каждой базы данных отдельно (в «Файл» → «Настройки базы данных» → вкладка «Дополнительно»).
Указав флаги KeyCreationFlags и/или флаги KeyPromptFlags (в узле пользовательского интерфейса), вы можете принудительно установить состояния (включено, отключено, проверено, не проверено) элементов управления источниками ключей в диалоговых окнах создания главного ключа и подсказок. Эти значения могут быть побитовыми комбинациями одного или нескольких следующих флагов:
Флаг (Hex) | Флаг (Dec) | Описание |
---|---|---|
0x0 | 0 | Не применять принудительно никакие состояния (по умолчанию). |
0x1 | 1 td> | Включить пароль. |
0x2 | 2 | Включить файл ключа. |
0x4 | 4 | Включить учетную запись пользователя. |
0x8 | 8< /td> | Включить кнопку «скрыть пароль». |
0x100 | 256 | Отключить пароль. |
0x200 | 512 | Отключить ключевой файл. |
0x400 | < td>1024Отключить учетную запись пользователя. | |
0x800 | 2048 | Отключить кнопку «скрыть пароль» . |
0x10000 | 65536 | Проверить пароль. |
0x20000< /td> | 131072 | Проверить файл ключа. |
0x40000 | 262144 | Проверить пользователя аккаунт. |
0x80000 | 524288 | Отметить опцию/кнопку «скрыть пароль». | 0x1000000 | 16777216 | Снять отметку с пароля. |
0x2000000 | 33554432 | Снять отметку с файла ключа. | tr>
0x4000000 | 67108864 | Снять отметку с учетной записи пользователя. |
0x8000000 | 134217728 | Снимите отметку с опции/кнопки "скрыть пароль". |
Значения KeyCreationFlags и KeyPromptFlags должны быть указаны в десятичной системе счисления.
Например, если вы хотите принудительно использовать параметр учетной записи пользователя, вы можете проверить и отключить элемент управления (чтобы пользователь больше не мог его снять), указав 263168 в качестве значения (0x40000 + 0x400 = 0x40400 = 263168). .
Tableau Server должен хранить ряд секретов, которые он использует для выполнения различных функций, обычно для защиты внутренней связи, связи с другими приложениями или операционной системой или обеспечения безопасной связи с клиентами. В этом контексте термин секрет может относиться к паролю, токену или другой строке, которая используется для аутентификации одного объекта в другом.
Существует две категории секретов, которые необходимы для запуска Tableau Server. Они различаются в зависимости от того, как генерируются секреты:
- Секреты, созданные администраторами. К ним относятся учетные данные и связанные секреты для учетной записи запуска от имени пользователя, а также учетные данные SMTP, используемые сервером Tableau.
- Секреты, которые автоматически генерируются различными процессами в системе. Например, секрет необходим для защиты связи между контроллером кластера и процессами ZooKeeper. И для каждого пользователя службы и программного обеспечения, взаимодействующего с Postgres, требуется несколько разных паролей.
Большинство секретов шифруются в состоянии покоя. Когда секрет необходим, он расшифровывается во время выполнения.
В этом разделе описывается, как работает хранилище секретов и что вам нужно сделать, чтобы правильно управлять хранением секретов на сервере Tableau.
Понимание того, как работает хранилище секретов
Во время установки Tableau Server создает и сохраняет главный ключ в хранилище ключей Java. Главный ключ используется для шифрования ключа шифрования конфигурации, используемого в системе.
Всякий раз, когда создается или обновляется новый секрет, он шифруется с помощью ключа шифрования конфигурации. Затем зашифрованное значение сохраняется с соответствующим параметром конфигурации в файле YAML на сервере. Параметры, которые содержат зашифрованное значение, используют формат ENC() , где — зашифрованная строка в кодировке Base64.
Во время выполнения, когда необходимо получить доступ к заданному секрету, зашифрованные значения считываются в память и расшифровываются с помощью ключа шифрования конфигурации.
В случае ожидающих изменений, когда секреты вводятся во время изменения конфигурации, вся транзакция шифруется. В этом сценарии после ввода секрета и последующего сохранения ожидающего изменения секрет передается в службу координации (через зашифрованный SSL). Служба координации шифрует секрет и сохраняет его до тех пор, пока не будут применены ожидающие изменения. Когда изменения применяются, секрет (все еще зашифрованный) повышается до текущей версии конфигурации.
Tableau Server шифрует секреты с помощью 256-битного AES в режиме GCM. Ключи, используемые для безопасного хранения, отличаются от ключей активов, которые используются для шифрования учетных данных встроенной базы данных перед их сохранением в репозитории.
У кого есть доступ к мастер-ключу?
При установке по умолчанию хранилище ключей Java для Tableau Server устанавливается в папку \ProgramData\Tableau\Tableau Server\data\tabsvc\crypto\keystores\. Если вы установили Tableau на несистемный диск, то путь будет :\Tableau\Tableau Server\data\tabsvc\crypto\keystores\ . По умолчанию следующие учетные записи имеют доступ к этому каталогу:
- Учетная запись запуска от имени пользователя (если она настроена)
- Предопределенная локальная учетная запись Windows для NetworkService
- Предопределенная локальная учетная запись Windows LocalSystem
- Члены группы администраторов компьютера
Импорт и экспорт информации о конфигурации
Tableau Services Manager предоставляет возможность импортировать и экспортировать информацию о конфигурации с помощью конфигурации tsm.
Примечание. Эта версия Tableau Server не поддерживает восстановление информации о конфигурации из резервной копии. Вместо этого мы рекомендуем использовать команды экспорта и импорта конфигурации для резервного копирования и восстановления информации о конфигурации.
Хотя секреты конфигурации шифруются при внутреннем хранении на диске, при экспорте конфигурации в файл секреты записываются в файл в виде обычного текста. Администратор должен принять меры для защиты этого файла. Доступны различные варианты:
- Запишите файл в зашифрованную файловую систему.
- Запишите файл в каталог, доступ к которому ограничен определенными пользователями или группами в соответствии с разрешениями файловой системы.
- Зашифровать выходной файл.
Защита секретов для операций импорта и экспорта
Используйте сторонний набор инструментов, например OpenSSL, для шифрования выходных данных резервной копии.
Узлы кластера
При добавлении нового узла в кластер Tableau Server вам сначала необходимо создать файл конфигурации узла (топология tsm). Файл конфигурации узла содержит копию главного файла хранилища ключей, используемого для шифрования секретов конфигурации.
Важно! Мы настоятельно рекомендуем вам принять дополнительные меры для защиты файла конфигурации узла при экспорте файла конфигурации с секретами.
При установке и настройке Tableau Server на новом узле вам потребуется предоставить файл конфигурации узла команде initialize-tsm.
Журналирование событий хранения секретов
Регистрируются следующие события, связанные с хранением секретов:
- Создание новых ключей шифрования
- Ключ шифрования свернут или изменен
- Шифрование нового значения в файле конфигурации
Дополнительную информацию о файлах журналов и о том, где они хранятся, см. в разделе Работа с файлами журналов.
Управление секретами
Самой важной задачей администратора Tableau Server, связанной с хранением секретов, является периодическое обновление секретов. В некоторых случаях (устранение неполадок сервера или аудит) вам может потребоваться восстановить пароль.
Для других операций, таких как обновление версий, резервное копирование и восстановление или добавление новых узлов в кластер, как указано выше, Tableau Server автоматически управляет хранилищем секретов и связанными процессами.
Обновление секретов
Вы должны периодически обновлять секреты в соответствии с политикой безопасности вашей компании.
Чтобы обновить главный ключ и автоматически сгенерированные секреты, запустите tsm security regenerate-internal-tokens.
Получение паролей
В некоторых случаях вам может потребоваться получить пароль для устранения неполадок или других операций. Например, вам могут понадобиться учетные данные пользователя Postgres только для чтения, которые генерируются и шифруются сервером Tableau. В этих случаях вы можете запустить команду tsm, которая извлечет и расшифрует пароль для вас.
Чтобы получить пароль, откройте командную строку и введите команду получения конфигурации tsm для одного из параметров, перечисленных в таблице ниже.
Например, чтобы получить пароль для пользователя Postgres только для чтения, введите следующую команду:
Читайте также: