WowKey 解决了运维工作中的自动登录认证及执行命令的需求。
WowKey 的占位符命令功能,则是解决登录后安全地执行带有身份认证凭证的命令。
当我们的主机/设备登录成功后,大部分需要执行的命令是无须再需身份认证就可以直接执行的了。
业务场景:当我们的主机/设备登录成功后,有相当一部分命令,是需要在登录之后,执行的命令中还需要带有身份认证登录凭证才能执行的命令。这部分部令中的身份认证凭证,硬编码在命令中是不安全的、不易维护的做法。为安全、易维护地执行这部分命令,我们在WowKey产品中针对该业务使用场景引入了该模块。WowKey 里的术语:占位符命令。
占位符命令—— 用于在登录设备后,执行带有身份认证要求的命令。比如:数据库连接及操作,SNMP协议的连接与操作,WEB连接操作,中间件连接操作,云资源的连接操作等等。
从宏观结构上来理解该模块的功能:WISCK.ini文件中配置占位符命令的映射关系、WIS 指令剧本文件中配置占位符命令关键字、APT帐号密码表文件中配置占位符命令关键字所对应的身份凭证数据。
这部分部令中的身份认证凭证,硬编码在命令中是不安全的、不易维护的做法。为了安全地执行这部分命令,我们在WowKey产品中引入了占位符模块。
为安全起见,命令的身份认证凭证以占位符配置,占位符对应的需要安全管理的身份登录凭证敏感数据,统一在APT文件中进行加密管理,从而避免在命令中硬编码敏感数据,造成数据泄露的安全问题和维护管理问题。
在 APT 文件中集中统一维护管理授权内容/单元(身份认证凭证),然后在命令执行时机动态注入认证身份凭证,从而实现命令执行的授权性、安全性。
在 WIS 指令剧本(执行内容/单元)中统一配置使用占位符命令, 实现授权内容/单元 与执行内容/单元的分离管理,
在WowKey产品中,将授权内容/单元 与 执行内容/单元统一到命令执行时的运行时环境中,实现管理职责分明的安全运维。
运维命令中带有身份认证的命令有很多。如:
- 操作系统级别
如:SNMP 操作命令,v2c 版本需要团体名——相当于密码的访问认证;v3版本需要身份认证密码和可选的加密认证密码。
- 应用程序级别
如:数据库、中间件、云操作命令、HTTP操作命令等
总结:3 个文件实现带有身份认证命令执行时的运行时身份凭证的注入
Ø INI 占位符命令关键字配置文件:定义您要在WIS文件中所使用的命令占位符关键字。
Ø APT 文件中管理统一管理占位符命令的身份认证信息,即身份的认证凭证。
Ø WIS 文件中使用命令占位符命令和身份认证占位符