Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Rundeckで 秘匿情報パラメータを セキュアに扱う

Avatar for kashiwaguma-hiro kashiwaguma-hiro
November 21, 2018
0
690

Rundeckで 秘匿情報パラメータを セキュアに扱う

ジョブスケジューラであるRundeckからジョブを起動する際、パスワード等の秘匿情報を扱うと思います。
この日得情報を扱う良いアイデアをご紹介します。

Avatar for kashiwaguma-hiro

kashiwaguma-hiro

November 21, 2018
Tweet

More Decks by kashiwaguma-hiro

See All by kashiwaguma-hiro
読んだ気になれる_オライリー本の攻略法
Avatar for kashiwaguma-hiro kashiwagumahiro
0
10
Ansistrano(&Ansible) への導入
Avatar for kashiwaguma-hiro kashiwagumahiro
0
420
Terraformのざっくり入門
Avatar for kashiwaguma-hiro kashiwagumahiro
0
180
DMM.comの課金プラットフォームにおけるサーバーサイドKotlin事情
Avatar for kashiwaguma-hiro kashiwagumahiro
1
3.6k

Featured

See All Featured
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.3k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.7k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.3k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
Avatar for AKADEMIYA2063 akademiya2063
PRO
1
57
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
49
9.9k
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
130
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
275
41k
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
300
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.8k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
From Legacy to Launchpad: Building Startup-Ready Communities
Avatar for Dug Song dugsong
0
140
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.8k

Transcript

  1. Rundeckで 秘匿情報パラメータを セキュアに扱う 会計スクラムチーム 柏熊 宏幸

  2. かるく自己紹介 • 社歴 ◦ 2016年3月1日入社(DMM歴:2年7ヶ月) • 所属 ◦ 会計スクラムチーム ◦

    決済、購入、ポイントの情報を何やかんやし、経理 /CFO向けのレポートをつくってます • 得意 ◦ IaC(Terraform, Ansible) ◦ Python ◦ Kotlin ◦ 障害調査切り分けなど

  3. 背景 • 経理レポート作成のため、オンプレの一部データをAWSへ転送 • 転送にはRundeck+embulkを採用 購入 決済 ポイント kick user認証

    IAM認証

  4. 課題 • Rundeckから秘匿情報をパラメータで渡すとき、生のまま扱うことに... 購入 決済 ポイント user認証 IAM認証 kick kick時、パラメータとして

    秘匿情報を渡す!

  5. こんな感じでまるみえ〜

  6. ▪画面上 ▪exportした設定ファイル 生パスワード丸見え

  7. 解決策 • Rundeck Key Storageが使えそう ◦ https://rundeck.org/docs/administration/security/key-storage.html • Rundeck上で扱うprivate key,

    public key, パスワード類を保存・参照・破棄できる 機能 • 事前にKeyStorageに保存し、ジョブ実行時に参照/利用。 • 保存時のキーは、ファイルパスのように指定。 ◦ (例) 会計DBのユーザパスワード ▪ keys/accounting/user ▪ keys/accounting/passsword

  8. Key Storageへ登録

  9. Job設定での参照

  10. ▪画面上 ▪exportした設定ファイル 生のままパスワード 表示されなくなる!

  11. 注意点 • 保存した後は保存値は画面上からは確認できない ◦ マスタ値は別で管理しましょう • secureつってるけど、暗号化はされてないよ ◦ catコマンドで中身を普通に見れました ◦

    暗号化したい場合は、 Key Storage Convert Pluginを使ってやる ▪ https://rundeck.org/docs/developer/storage-converter-plugin.html

  12. まとめ • Rundeckから秘匿情報を扱うとき、Key Storageをつかえばそのまま扱うよりセキュ アっぽい ◦ 秘匿情報や鍵のこと考えなきゃ〜からの開放が良さげ • 暗号化までガチガチに考えるならConverter Pluginの設定が必要そう

    • 気になった方は、Dockerでできるのでためしてガッテン! ◦ https://hub.docker.com/r/jordan/rundeck/