我正在为我的 AWS EC2 实例创建自定义 AMI。我正在尝试通过
cloud-init
配置用户的密码。我正在使用 cloud-init 的配置中的
passwd
来完成此操作。
我惊讶地发现cloud-init的配置(又名
/etc/cloud/cloud.cfg
)可以被任何人读取:
-rw-r--r-- 1 root root 2607 Oct 25 11:40 /etc/cloud/cloud.cfg
我有以下问题:
/etc/cloud/cloud.cfg
?我可以只为 root
提供吗?附注我试图在互联网上寻找我的任何问题的答案,但无济于事。
如果任何人都可以看到我用户的 (SHA-512) 哈希密码,这是否是一个安全问题?我该如何缓解?
这取决于您的威胁模型。与非 root 用户共享此哈希通常比不这样做安全,但在问这个问题之前您显然已经知道这一点。
通过 cloud-init 配置用户密码的正确方法是什么?
这取决于:您使用哪个云/数据源?您是否将用户数据直接插入到该文件中?不推荐这样做,尽管可能“有效”。
为什么 /etc/cloud/cloud.cfg 被所有人读取?我可以让它只对 root 可用吗?
此文件中没有秘密,并且 cloud-init 不希望用户将这些内容放在那里。如果用户将机密放入全局可读文件中,那么是的,他们已经造成了安全问题。