Author: Lucas Palhares

[FAST TIPS] AWS – Trusted Advisor

[FAST TIPS] AWS – Trusted Advisor

Nesse fast tips iremos falar sobre uma ferramenta pouco conhecida na AWS, porém muito importante: Trusted Advisor.

Essa ferramenta extremamente fácil de ser utilizada realiza uma varredura de segurança, performance, otimização de custos e verificação de tolerância à falhas. Nos planos mais básicos só são disponíveis alguns recursos de verificação de segurança e de desempenho, as outras ferramentas só podem ser usadas nos planos Business ou Enterprise.

Mesmo nos planos mais básicos já é possível ver e corrigir uma boa quantidade de problemas de segurança.

Então, para você que administra ambientes na AWS, lembre-se de usar essa ferramenta e nada de deixar portas 22 abertas para o mundo! =D

Espero que tenham gostado dessa dica e até mais!

Ansible Vault: Criptografando arquivos sensíveis

Ansible Vault: Criptografando arquivos sensíveis

A ideia desse post é ser breve porém falar sobre um importante mecanismo do ansible para quem precisa criptografar arquivos sensíveis contendo senhas ou chaves. Vamos falar do ansible vault.

Os comandos para o ansible vault são: create, decrypt, edit, encrypt, rekey, view

Abaixo estão alguns exemplos de utilização do ansible vault:

Para criar um novo arquivo criptografado:
ansible-vault create foo

Para criptografar um arquivo já existente:
ansible-vault encrypt foo

Para descriptografar um arquivo criptografado:
ansible-vault decrypt foo

Para editar um arquivo criptografado:
ansible-vault edit foo

Para alterar a senha de criptografia de um arquivo:
ansible-vault rekey foo

Para visualizar um arquivo criptografado:

ansible-vault view foo

Em um cenário real, isso é amplamente utilizado para mantermos a segurança de alguns arquivos contendo senhas de databases, por exemplo. Vou usar como exemplo a utilização do ansible vault na subida desse blog. Em uma das receitas utilizamos credenciais de acesso ao nosso banco de dados, para deixarmos essas senhas mais seguras, utilizamos o ansible vault da seguinte forma:

Criamos um arquivo dentro do diretório group_vars com variáveis contendo as credenciais de acesso ao nosso banco de dados (credentials);

Feito isso, criptografamos o arquivo utilizando
ansible-vaul encrypt credentials

Após concluído o processo de criptografia, basta fazer as chamadas das variáveis na main do playbook.

Na execução da receita existem algumas formas de especificar que você utilizou o ansible vault, uma delas é utilizar o parâmetro “–ask-vault-pass

ansible-playbook site.yml --ask-vault-pass

Esse método só é válido se todas as senhas de criptografias são iguais. Caso os arquivos foram criptografados com senhas diferentes você pode utilizar o parâmetro “–vault-password-file

ansible-playbook site.yml --vault-password-file ~/.vault_pass.txt

Nesse segundo método as senhas ficam especificadas em um arquivo local sendo interessante definir as permissões do arquivo por questões de segurança.

Esse é apenas um exemplo do que dá para ser feito com o ansible vault. Usem e adequem de acordo com sua necessidade.
Para mais informações acesse a documentação.

Espero que tenham gostado! Até mais =D