Comment protéger les certificates SSL HAProxy en tant que service?
J’essaie de concevoir une méthode pour protéger mes certificates SSL HAProxy au repos sur le disque afin que, si l’hôte de l’équilibreur de charge est piraté, les certificates SSL ne soient pas prêts à être utilisés par l’attaquant.
Je me rends compte que les certificates doivent au moins être disponibles en mémoire pour être utilisés par HAProxy pour négocier les connexions SSL. Cependant, je voudrais faire tout ce qui est possible pour garder les certificates sécurisés.
Comment puis-je configurer le répertoire ssl-cert pour qu’il soit protégé et / ou crypté et être disponible pour HAProxy uniquement lorsqu’il a besoin des informations (probablement au démarrage du service)?
Actuellement, je vois deux moyens d’y parvenir.
- Alternative à s3cmd pour la synchronisation entre le dossier local et Amazon s3 avec une capacité de chiffrement
- laravel: Aucun encodeur pris en charge trouvé. La longueur de chiffrement et / ou de clé est invalide
- Comment puis-je décompresser le fichier chiffré avec un algorithme autre que PKZIP dans Python3?
- Comment chiffrer le mot de passe vpnc Xauth dans le fichier /etc/vpn/example.cfg?
- Gradle: impossible de développer le fichier ZIP à cause du nom de fichier trop long
- Utilisez une sorte de chiffrement au niveau du système de fichiers Linux / * nix.
Cela signifie que le script HAProxy init / upstart doit être exécuté pour exiger qu’un mot de passe ou un fichier de clé spécifique existe sur le disque. Ce mot de passe est ensuite utilisé pour extraire les certs d’un fichier d’archive chiffré (par exemple, RAR ou autre?) Dans le répertoire HAProxy / etc / haproxy / certs. Après le démarrage du service HAproxy, utilisez srm le mot de passe / fichier de clé avec le répertoire / etc / haproxy / certs.
- Créez une couche de gestion de service API externe qui s’exécute sur un hôte différent (super sécurisé). Ce service stockera les certificates et orchestrera les redémarrages et les rechargements du service d’équilibrage de charge. Ce service synchroniserait le répertoire certs de haproxy, le redémarrer ou le recharger via ssh, puis
ssh … srmle répertoire certs pour effacer en toute sécurité le répertoire / etc / haproxy / certs.
J’apprécierais la rétroaction sur ces idées, toute expérience pertinente ou toute autre manière d’atteindre cet objective de sécurité.
Ressources additionnelles:
Voici une question connexe pertinente sur SO concernant HAproxy multi-ssl.
Documentation de terminaison SSL HAProxy
- nodejs chiffrement ubuntu ne fonctionne pas comme prévu
- Comment importer PKCS # 12 dans Seahorse
- Déchiffrer le mot de passe créé avec htpasswd
- Http / 2 site ne sera pas chargé sur Safari 9 uniquement – Charge correct sur Chrome, IE, Edge, Firefox
- erreur php gnupg get_key a échoué
Bien que ce ne soit pas le forum idéal pour votre question, voici une réponse:
Protégez simplement vos certificates SSL avec une phrase secrète.
Au démarrage de HAProxy, votre bibliothèque SSL vous demandera la phrase secrète.
N’oubliez pas que vous devrez taper la phrase secrète chaque fois que vous démarrez / redémarrez HAProxy.
- Certificat SSL multiple sur un domaine
- Comment faire le décryptage à la volée sur nginx?
- Cryptage / décryptage des cookies par HAProxy
- Dois-je utiliser nginx ou Apache pour utiliser Lets Encrypt?
- Déchiffrer le fichier binary OpenSSL via NGINX lors de sa réception (à la volée)
- Comment append un certificate pour le sous-domaine en utilisant Lets Encrypt
- Encoder et décoder le chemin d’access dans nginx
- Impossible de lier le code OpenSSL
- Où est-ce que le sel est attaché au mot de passe, APRÈS ou AVANT le mot de passe?
- Comment stocker le mot de passe de manière réversible avec Python sous Linux?