Follow

Ahhh den Prometheus Leuten ist endlich aufgefallen das ihr "Security machen wir nicht, das ist euer Problem" das quasi erzwingt noch einen nginx vor jeden Exporter zu kleben Unsinn war. Hurra, lieber späte Erkenntnis als nie! 🎉

prometheus.io/docs/operating/s

· · Web · 4 · 6 · 14

@leah der nächste Stolperstein wird dann das Zertifikatsmanagement ;)

@maxheadroom @leah kennst du da eine zufriedenstellende Lösung? Momentan mache ich einen Haufen Ansible-magie, dass der Prozess immerhin einigermaßen deklarativ ist, aber so richtig gut fühlt sich das auch nicht an

@bfiedler @maxheadroom hätte jetzt gesagt let's encrypt und ab gehts. Das Zeug liegt ja an ner definierten Stelle rum.

@bfiedler @leah Ansible, Puppet etc. ist schon ok. Die verteilen ja für den Moment nur die Dateien. Den tückischen Teil finde ich die CA und die Client-Zertifikate. Hier sind in der Regel Prozesse, Tool und Strukturen gefragt die auch in 2 bis 5 Jahren noch funktionieren und bedienbar sind. Denn dann laufen die Zerts ab und müssen rechtzeitig getauscht werden. Das ist eigentlich alles keine Raketenchirurgie, erfordert nur halt sehr langfristige Planung und Dokumentation.

@bfiedler @leah ... Und genau an dieser Stelle beißen sich die schnelllebige IT und langlebige Zertifikate. Sachen die man nicht sehr regelmässig macht vergisst man einfach.

@maxheadroom @bfiedler ach sooo client Zertifikate nerven viel zu sehr um sie zu benutzen wenns nicht sein muss. Und so geheim sind Metriken jetzt auch nicht.

Mir reicht da TLS, Basic Auth und ne Firewall.

@leah @bfiedler @leah @bfiedler und wie authentifizierst Du die Clients? Zertifikate hätten den Vorteil, das sie gleich für mehrere Dienste auf der Maschine verwendbar sind. Puppet, Ansible, Chef etc. die können alle die gleichen Zertifikate nutzen wie Prometheus usw. Dann muss man nicht mehrmals andere credentials pflegen.

Wenn man nur die Verbindung verschlüsseln will, dann wäre ich auch bei Lets Encrypt.

@maxheadroom @bfiedler hä? Ich dachte wir reden über Prometheus + Exporter...welche Clients meinst du denn jetzt?

@maxheadroom @leah necrobump :P

das mTLS-Problem hat mich nicht losgelassen, und ich hab' vielleicht was halb-sinnvolles gebastelt.

Meine (recht bescheuerte) Idee: Man nehme die x509 serial number, um certs zu identifizieren, die getauscht werden müssen. Jedes cert ist identifiziert durch issuer hash + cn (oder irgendwie sowas, da gibt es viel Freiheit), dann hashen wir das und berechnen so eine SN. um herauszufinden ob wir das cert tauschen müssen können wir also die SN des vorhandenen certs mit unserer berechneten SN vergleichen, und wenn die mismatchen generieren wir ad-hoc ein neues cert und schieben es hoch. einzig allein die self-signed root liegt im cfgmanagement.

Die certs können wir generieren wie wir wollen, daher entsteht da keine sicherheitslücke durch irgendwas deterministisches.
Wenn das urbild für den SN-hash richtig gewählt wird, wird nach einem root-cert Tausch auch alles brav neugeneriert, und die alten certs sind nutzlos (z.B. falls mal eins geleaked wird).

CRLs gehen dadurch kaputt (weil wir nicht wirklich wissen welche SNs vergeben sind), aber die sind ja eh schon eher so eine Krücke. Wie oben gesagt können wir geleakede certs immer noch einigermaßen sinnvoll tauschen.

Irgendwelche Meinungen dazu?

@bfiedler @leah mmh, da stecke ich glaube ich nicht tief genug in der Materie. Haben die Certs nicht eh ein Ablaufdatum drin? Warum musst Du da etwas berechnen?

@maxheadroom @leah haben sie, ich nehm' sie aber als Indikatoren um herauszufinden, ob ich sie tauschen muss, wenn ich z.B. rekeye.

@maxheadroom @leah Beruhigt mich zu sehen, dass ich da nicht der:die Einzige bin, der Probleme damit hat 😄 CAs verwalten ist recht schmerzvoll...

@leah node exporter 1.0.0 hat das feature auch schon 😍

@leah Hmm ich hab stunnel da immer nginx vorgezogen da weniger bloat wenn nur das feature "ssl davor bitte danke gerne" gebraucht wird. Aber schön dass das endlich mal was wird!

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community