salt-master上如何控制调用cmd.runz的时候执行危险操作,比如reboot这样的命令

100 views
Skip to first unread message

books

unread,
Dec 11, 2013, 12:10:11 AM12/11/13
to saltstack...@googlegroups.com

类比如何控制权限等啊这些



--
books---give---


蓝枫

unread,
Dec 23, 2013, 9:22:41 AM12/23/13
to
我是通过修改源码来实现的,修改/usr/lib/python2.6/site-packages/salt/cli/__init__.py (可能与你的salt目录不同),添加括起来的行,forb_com里面是禁止的命令,你可以添加,修改



在 2013年12月11日星期三UTC+8下午1时10分11秒,books写道:
 
类比如何控制权限等啊这些



--
books---give---


pengyao

unread,
Dec 23, 2013, 10:12:45 AM12/23/13
to 中国SaltStack用户组邮件列表
蓝枫的方法可以使用,但不建议这么做,这么做相当于维护了一个版本,如果salt升级,每次都需要重新修改这部分代码,然后才能更新

官方目前的解决方案有两个
(1) client_acl: 定义白名单,具体请访问: http://docs.saltstack.com/topics/eauth/access_control.html
(2) client_acl_blacklist:定义黑名单,具体例子访问: http://docs.saltstack.com/ref/configuration/master.html?highlight=black#client-acl-blacklist

由于cmd module过于灵活,从黑名单控制非常易于突破(比如更换参数位置,指定参数等等),建议还是能做成module的就自定义成module, 减少cmd module的使用,最终达到不使用cmd module即可完成任务



在 2013年12月23日,下午10:21,蓝枫 <last...@gmail.com> 写道:

我是通过修改源码来实现的,修改/usr/lib/python2.6/site-packages/salt/cli/__init__.py (可能与你的salt目录不同),添加括起来的行



在 2013年12月11日星期三UTC+8下午1时10分11秒,books写道:
 
类比如何控制权限等啊这些



--
books---give---



-- 
您收到此邮件是因为您订阅了 Google 网上论坛的“中国SaltStack用户组”论坛。
要退订此论坛并停止接收此论坛的电子邮件,请发送电子邮件到 saltstack-users...@googlegroups.com
要向此网上论坛发帖,请发送电子邮件至 saltstack...@googlegroups.com
通过以下网址访问此论坛:http://groups.google.com/group/saltstack-users-cn。
要在网络上查看此讨论,请访问 https://groups.google.com/d/msgid/saltstack-users-cn/908fb1be-edd3-4172-9809-ced1b0bc2ccd%40googlegroups.com。
要查看更多选项,请访问 https://groups.google.com/groups/opt_out。

davis...@gmail.com

unread,
Dec 24, 2013, 9:56:32 AM12/24/13
to saltstack...@googlegroups.com, 中国SaltStack用户组邮件列表
绿神,
      我觉得在系统层面来坐这个比较合理,直接给reboot alias 一下 不让他执行真正的reboot命名就行

不知道建议对蓝枫是否有用。

Sent from my iPod
Reply all
Reply to author
Forward
0 new messages