Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Rundeckで 秘匿情報パラメータを セキュアに扱う

Avatar for kashiwaguma-hiro kashiwaguma-hiro
November 21, 2018
0
630

Rundeckで 秘匿情報パラメータを セキュアに扱う

ジョブスケジューラであるRundeckからジョブを起動する際、パスワード等の秘匿情報を扱うと思います。
この日得情報を扱う良いアイデアをご紹介します。
Avatar for kashiwaguma-hiro

kashiwaguma-hiro

November 21, 2018
Tweet

More Decks by kashiwaguma-hiro

See All by kashiwaguma-hiro
Ansistrano(&Ansible) への導入
Avatar for kashiwaguma-hiro kashiwagumahiro
0
360
Terraformのざっくり入門
Avatar for kashiwaguma-hiro kashiwagumahiro
0
170
DMM.comの課金プラットフォームにおけるサーバーサイドKotlin事情
Avatar for kashiwaguma-hiro kashiwagumahiro
1
3.5k

Featured

See All Featured
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
35
6.7k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
30
5.9k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
Done Done
Avatar for chrislema chrislema
184
16k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
96
6.1k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
29
5.4k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
138
34k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
60k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.7k
Scaling GitHub
Avatar for Zach Holman holman
460
140k

Transcript

  1. Rundeckで 秘匿情報パラメータを セキュアに扱う 会計スクラムチーム 柏熊 宏幸

  2. かるく自己紹介 • 社歴 ◦ 2016年3月1日入社(DMM歴:2年7ヶ月) • 所属 ◦ 会計スクラムチーム ◦

    決済、購入、ポイントの情報を何やかんやし、経理 /CFO向けのレポートをつくってます • 得意 ◦ IaC(Terraform, Ansible) ◦ Python ◦ Kotlin ◦ 障害調査切り分けなど

  3. 背景 • 経理レポート作成のため、オンプレの一部データをAWSへ転送 • 転送にはRundeck+embulkを採用 購入 決済 ポイント kick user認証

    IAM認証

  4. 課題 • Rundeckから秘匿情報をパラメータで渡すとき、生のまま扱うことに... 購入 決済 ポイント user認証 IAM認証 kick kick時、パラメータとして

    秘匿情報を渡す!

  5. こんな感じでまるみえ〜

  6. ▪画面上 ▪exportした設定ファイル 生パスワード丸見え

  7. 解決策 • Rundeck Key Storageが使えそう ◦ https://rundeck.org/docs/administration/security/key-storage.html • Rundeck上で扱うprivate key,

    public key, パスワード類を保存・参照・破棄できる 機能 • 事前にKeyStorageに保存し、ジョブ実行時に参照/利用。 • 保存時のキーは、ファイルパスのように指定。 ◦ (例) 会計DBのユーザパスワード ▪ keys/accounting/user ▪ keys/accounting/passsword

  8. Key Storageへ登録

  9. Job設定での参照

  10. ▪画面上 ▪exportした設定ファイル 生のままパスワード 表示されなくなる!

  11. 注意点 • 保存した後は保存値は画面上からは確認できない ◦ マスタ値は別で管理しましょう • secureつってるけど、暗号化はされてないよ ◦ catコマンドで中身を普通に見れました ◦

    暗号化したい場合は、 Key Storage Convert Pluginを使ってやる ▪ https://rundeck.org/docs/developer/storage-converter-plugin.html

  12. まとめ • Rundeckから秘匿情報を扱うとき、Key Storageをつかえばそのまま扱うよりセキュ アっぽい ◦ 秘匿情報や鍵のこと考えなきゃ〜からの開放が良さげ • 暗号化までガチガチに考えるならConverter Pluginの設定が必要そう

    • 気になった方は、Dockerでできるのでためしてガッテン! ◦ https://hub.docker.com/r/jordan/rundeck/