Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Rundeckで 秘匿情報パラメータを セキュアに扱う

Avatar for kashiwaguma-hiro kashiwaguma-hiro
November 21, 2018
0
630

Rundeckで 秘匿情報パラメータを セキュアに扱う

ジョブスケジューラであるRundeckからジョブを起動する際、パスワード等の秘匿情報を扱うと思います。
この日得情報を扱う良いアイデアをご紹介します。
Avatar for kashiwaguma-hiro

kashiwaguma-hiro

November 21, 2018
Tweet

More Decks by kashiwaguma-hiro

See All by kashiwaguma-hiro
Ansistrano(&Ansible) への導入
Avatar for kashiwaguma-hiro kashiwagumahiro
0
350
Terraformのざっくり入門
Avatar for kashiwaguma-hiro kashiwagumahiro
0
170
DMM.comの課金プラットフォームにおけるサーバーサイドKotlin事情
Avatar for kashiwaguma-hiro kashiwagumahiro
1
3.5k

Featured

See All Featured
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
780
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
430
65k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
159
23k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.4k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
68
11k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
233
140k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.6k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
252
21k
Side Projects
Avatar for Sacha Greif sachag
455
42k

Transcript

  1. Rundeckで 秘匿情報パラメータを セキュアに扱う 会計スクラムチーム 柏熊 宏幸

  2. かるく自己紹介 • 社歴 ◦ 2016年3月1日入社(DMM歴:2年7ヶ月) • 所属 ◦ 会計スクラムチーム ◦

    決済、購入、ポイントの情報を何やかんやし、経理 /CFO向けのレポートをつくってます • 得意 ◦ IaC(Terraform, Ansible) ◦ Python ◦ Kotlin ◦ 障害調査切り分けなど

  3. 背景 • 経理レポート作成のため、オンプレの一部データをAWSへ転送 • 転送にはRundeck+embulkを採用 購入 決済 ポイント kick user認証

    IAM認証

  4. 課題 • Rundeckから秘匿情報をパラメータで渡すとき、生のまま扱うことに... 購入 決済 ポイント user認証 IAM認証 kick kick時、パラメータとして

    秘匿情報を渡す!

  5. こんな感じでまるみえ〜

  6. ▪画面上 ▪exportした設定ファイル 生パスワード丸見え

  7. 解決策 • Rundeck Key Storageが使えそう ◦ https://rundeck.org/docs/administration/security/key-storage.html • Rundeck上で扱うprivate key,

    public key, パスワード類を保存・参照・破棄できる 機能 • 事前にKeyStorageに保存し、ジョブ実行時に参照/利用。 • 保存時のキーは、ファイルパスのように指定。 ◦ (例) 会計DBのユーザパスワード ▪ keys/accounting/user ▪ keys/accounting/passsword

  8. Key Storageへ登録

  9. Job設定での参照

  10. ▪画面上 ▪exportした設定ファイル 生のままパスワード 表示されなくなる!

  11. 注意点 • 保存した後は保存値は画面上からは確認できない ◦ マスタ値は別で管理しましょう • secureつってるけど、暗号化はされてないよ ◦ catコマンドで中身を普通に見れました ◦

    暗号化したい場合は、 Key Storage Convert Pluginを使ってやる ▪ https://rundeck.org/docs/developer/storage-converter-plugin.html

  12. まとめ • Rundeckから秘匿情報を扱うとき、Key Storageをつかえばそのまま扱うよりセキュ アっぽい ◦ 秘匿情報や鍵のこと考えなきゃ〜からの開放が良さげ • 暗号化までガチガチに考えるならConverter Pluginの設定が必要そう

    • 気になった方は、Dockerでできるのでためしてガッテン! ◦ https://hub.docker.com/r/jordan/rundeck/