为什么软件配置管理工具(SCM)只对客户端而不是服务器进行身份验证？

Question

我已经注意到，可能所有4种流行的软件配置管理工具，即：

1. 木偶木偶
2. 可抗可抗
3. 厨师厨师
4. 食盐

只使用客户端的身份验证，而不是服务器身份验证--如果我错了就纠正我(我怀疑我错了，但我不知道为什么)。

为什么会这样呢？信任实际上管理客户端系统配置几乎所有细节的服务器，难道不是不安全的吗？

这里描述了如何提供木偶木偶身份验证。攻击者不可能假扮成MITM来运行傀儡服务器攻击吗？服务器对客户端进行身份验证是否以某种方式提供了相互认证？

Answer 1

这里描述了如何提供木偶的身份验证。

你提供的链接明确表示：

主服务器和代理之间的通信被授予并使用客户端验证的HTTPS进行保护，这需要有效的标识SSL证书。

考虑到某些类型的服务器身份验证总是使用HTTPS完成的，这只意味着客户端身份验证是对服务器身份验证的附加操作，而不是只执行客户端身份验证。

Answer 2

部分答复：

我使用Ansible和SSH密钥身份验证。我想说的是，它包括一个服务器身份验证，也就是说，Ansible服务器必须在每次它持有SSH密钥auth的私钥时证明。即使密码为auth，也是一样的。

因此，在这种情况下，问题归结为“发起SSH会话时MITM攻击是否可能？”AFAIK唯一的规定是检查HostKey检查(这是第一次手动检查)，然后是自动检查。我相信这方面已经讨论过了。例如，如何正确保护ssh会话免受MITM攻击？