openstack rootwrap详解

最新推荐文章于 2024-06-06 14:27:00 发布
最新推荐文章于 2024-06-06 14:27:00 发布
阅读量3.1k 收藏 7
点赞数 2
分类专栏: OpenStack 文章标签: OpenStack rootwrap oslo_rootwrap openstack  rootwrap neutron-rootwrap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37313888/article/details/84941527
版权

1.前言

网上关于openstack rootwrap的讲解还是有一些的,只知道是一个控制nova,neutron等普通用户权限的工具。但是这些代码是怎么实现以nova,neutron用户启动的呢?

这个问题我研究了一下,还是要从openstack每一项服务的开机启动脚本看起。先总结一下,openstack 实现nova,neutron普通用户的权限控制的基本方法可以概括为“以普通用户运行,只对特定命令提供免密执行权限”

2.当我们在shell输入service neutron-server start后发生了什么?

Queens版本为例,openstack相关服务启动的代码,都在我们熟悉的/etc/init.d以及 /lib/systemd/system目录下,先看看/lib/systemd/system/neutron-server.service服务是怎么写的

[Unit]
Description=OpenStack Neutron Server
After=mysql.service postgresql.service rabbitmq-server.service keystone.service



[Service]
"""启动时使用的用户"""
User=neutron
"""启动时使用的用户组"""
Group=neutron
"""启动的进程为主进程"""
Type=simple
WorkingDirectory=~
RuntimeDirectory=neutron lock/neutron
CacheDirectory=neutron
"""启动入口在/etc/init.d/neutron-server"""
ExecStart=/etc/init.d/neutron-server systemd-start
Restart=on-failure
LimitNOFILE=65535
TimeoutStopSec=15

[Install]
WantedBy=multi-user.target

这是一个基本的sytemd服务的模板,绿色注释的几行行是我关心的。这里是以neutron用户与用户组启动的

在/etc/init.d/neutron-server中,上面的/etc/init.d/neutron-server systemd-start对应着

#! /bin/sh

DESC="OpenStack Neutron Server"
PROJECT_NAME=neutron
NAME=${PROJECT_NAME}-server
[ -r /etc/default/neutron-server ] && . /etc/default/neutron-server


"""DAEMON_ARGS"""
[ -n "$NEUTRON_PLUGIN_CONFIG" ] && DAEMON_ARGS="--config-file=$NEUTRON_PLUGIN_CONFIG"
    
    ......

"""DAEMON"""
if [ -z "${DAEMON}" ] ; then
        DAEMON=/usr/bin/${NAME}
fi

    ......
"""DAEMON_ARGS"""
LOGFILE=/var/log/${PROJECT_NAME}/${NAME}.log
if [ -z "${NO_OPENSTACK_CONFIG_FILE_DAEMON_ARG}" ] ; then
        DAEMON_ARGS="--config-file=${CONFIG_FILE} ${DAEMON_ARGS}"
fi

    ......

"""DAEMON_ARGS"""
if [ -z "${NO_OPENSTACK_LOGFILE_DAEMON_ARG}" ] ; then
        [ "x$USE_LOGFILE" != "xno" ] && DAEMON_ARGS="$DAEMON_ARGS --log-file=$LOGFILE"

    ......

"""do_systemd_start"""
do_systemd_start() {
        exec $DAEMON $DAEMON_ARGS
}

    ......


case "$1" in 
    """省略其他的case分支"""
    ......

systemd-start)
    do_systemd_start
;;

相当于直接执行

sudo  exec start-stop-daemon --start --chuid neutron --exec /usr/bin/neutron-server -- \
      --config-file /etc/neutron/neutron.conf \
      --config-file /etc/neutron/plugins/ml2/ml2_conf.ini
      --log-file /var/log/neutron/server.log

这里,显然是以neutron用户的身份执行的neutron-server脚本

3.普通用户neutron是如何执行一些需要root权限的linux命令的?

似乎到这里还没有看到root-wrap的作用,别着急,在neutron-openvsitch-agent中,代码有时候会直接调用命令行,如

    def add_bridge(self, bridge_name):
        self.run_vsctl(["--", "--may-exist", "add-br", bridge_name])

代码在执行这个函数的时候,是直接通过Popen执行下面的命令行

ovs-vsctl add-br bridge_name

如果是在普通用户下运行的python代码,在执行这段代码后会出错(Permission denied),一种解决思路是这样的:

1.在执行这段命令之前,加上"sudo"

2.对neutron账户设置免密码登录,这样加上sudo执行一些系统命令时就不用输入密码了。

在/etc/sudoers.d里面确实出现了一些免密配置的文件

root@controller:/etc/sudoers.d# ls
glance_sudoers  neutron_sudoers  nova_sudoers  README  stack

不过为了进一步限制neutron可以账户免密码执行的命令个数与种类,openstack还加上了第三步

3.在sudo 与实际要执行的受限制的系统命令之间加一层过滤,从而仅仅允许neutron用户执行过滤脚本中规定的一些命令

这个就体现在上面的glance_sudoers等文件中。neutron_sudoers实际上

eg,在执行上面的add_bridge的过程中,实际上是执行了

sudo /usr/bin/neutron-rootwrap /etc/neutron/rootwrap.conf ovs-vsctl add-br bridge_name

4.openstack root-wrap的详细使用方法

1.neutron-rootwrap

#! /usr/bin/python2

import sys
from oslo_rootwrap.cmd import main

if __name__ == "__main__":
    sys.exit(main()

 

2.oslo_rootwrap.cmd.main:

def main(run_daemon=False):
    # Split arguments, require at least a command
    execname = sys.argv.pop(0)
    
        """......此处代码已省略......"""

    configfile = sys.argv.pop(0)

    """加载紧随其后的配置文件"""
    try:
        rawconfig = moves.configparser.RawConfigParser()
        rawconfig.read(configfile)
        config = wrapper.RootwrapConfig(rawconfig)
    except ValueError as exc:
        msg = "Incorrect value in %s: %s" % (configfile, exc.args[0])
        _exit_error(execname, msg, RC_BADCONFIG, log=False)
    except moves.configparser.Error:
        _exit_error(execname, "Incorrect configuration file: %s" % configfile,
                    RC_BADCONFIG, log=False)

            """......此处代码已省略......"""
    
    """这里,config.filters_path为"""
    """filters_path=/etc/neutron/rootwrap.d,/usr/share/neutron/rootwrap"""
    """重点就是加载filters的过程"""
    
    filters = wrapper.load_filters(config.filters_path)

    if run_daemon:
        from oslo_rootwrap import daemon as daemon_mod
        daemon_mod.daemon_start(config, filters)
    else:
        """默认的run_daemon为False,会执行下面这部分代码"""
        run_one_command(execname, config, filters, sys.argv)

重点看看加载filters的过程

def load_filters(filters_path):
    """Load filters from a list of directories."""
    filterlist = []
    for filterdir in filters_path:
        if not os.path.isdir(filterdir):
            continue
        for filterfile in filter(lambda f: not f.startswith('.'),
                                 os.listdir(filterdir)):
            filterfilepath = os.path.join(filterdir, filterfile)
            if not os.path.isfile(filterfilepath):
                continue
            kwargs = {"strict": False} if six.PY3 else {}
            filterconfig = moves.configparser.RawConfigParser(**kwargs)
            filterconfig.read(filterfilepath)
            for (name, value) in filterconfig.items("Filters"):

                """position 1"""

                filterdefinition = [s.strip() for s in value.split(',')]
                
                """position 2"""
                
                newfilter = build_filter(*filterdefinition)
                if newfilter is None:
                    continue
                newfilter.name = name
                filterlist.append(newfilter)
    # And always include privsep-helper
    privsep = build_filter("CommandFilter", "privsep-helper", "root")
    privsep.name = "privsep-helper"
    filterlist.append(privsep)
    return filterlist

关键点有两个:

position1:将配置文件中Filters部分的每一行以逗号分隔开,并且将分隔开的每一个字段加入一个列表

例如,filters长这样

[Filters]

# neutron/agent/linux/iptables_firewall.py
#   "iptables-save", ...
iptables-save: CommandFilter, iptables-save, root
iptables-restore: CommandFilter, iptables-restore, root
ip6tables-save: CommandFilter, ip6tables-save, root
ip6tables-restore: CommandFilter, ip6tables-restore, root

当读取第一行的时候,filterdefinition为

filterdefinition = ["CommandFilter", "iptables-save", "root"]

position2:构建一个filter对象

def build_filter(class_name, *args):
    """Returns a filter object of class class_name."""
    """先从filters模块(oslo_rootwrap.filters)检查有没有第一个参数class_name"""
    if not hasattr(filters, class_name):
        logging.warning("Skipping unknown filter class (%s) specified "
                        "in filter definitions" % class_name)
        return None
    filterclass = getattr(filters, class_name)
    """以剩下的其他参数初始化filterclass"""
    return filterclass(*args)

由上面的

iptables-save: CommandFilter, iptables-save, root

生成了

new_class_filter = CommandFilter(name="iptables-save",exec_path=iptables-save, run_as=root)

最后,这个new_class_filter被添加到filterlist中

 

3.filters 的选择以及命令的执行

3.1把要执行的命令交给filters处理

oslo_rootwrap.cmd.main中,代码最终是在run_one_command里面执行了

def run_one_command(execname, config, filters, userargs):
    # Execute command if it matches any of the loaded filters
    try:
        obj = wrapper.start_subprocess(
            filters, userargs,
            exec_dirs=config.exec_dirs,
            log=config.use_syslog,
            stdin=sys.stdin,
            stdout=sys.stdout,
            stderr=sys.stderr)
        returncode = obj.wait()

start_subporocess:

def start_subprocess(filter_list, userargs, exec_dirs=[], log=False, **kwargs):

    """根据实际要执行的命令行选择对应的filter"""
    """如果命令行是ovs-vsctl add-br bridge_name, 就是对ovs-vsctl命令进行筛选"""
    
    filtermatch = match_filter(filter_list, userargs, exec_dirs)

    command = filtermatch.get_command(userargs, exec_dirs)

    if log:
        logging.info("(%s > %s) Executing %s (filter match = %s)" % (
            _getlogin(), pwd.getpwuid(os.getuid())[0],
            command, filtermatch.name))

    def preexec():
        signal.signal(signal.SIGPIPE, signal.SIG_DFL)
        filtermatch.preexec()

    obj = subprocess.Popen(command,
                           preexec_fn=preexec,
                           env=filtermatch.get_environment(userargs),
                           **kwargs)
    return obj

3.2filters处理的具体过程

match_filter,很简单,直接比较需要执行的linux命令行的第一个参数与filter自己的self.exec_path参数。如果一个都没有匹配到,那么返回值为空值,不会执行Linux 命令。

def match_filter(filter_list, userargs, exec_dirs=None):

    first_not_executable_filter = None
    exec_dirs = exec_dirs or []

    for f in filter_list:

        """f.exec_pth与userargs的第一个字符串相同"""
        if f.match(userargs):

            """一些命令可能受到多重限制,
             比如允许ovs-vsctl add-br但不允许ovs-vsctl del-br"""
            if isinstance(f, filters.ChainingFilter):
                # This command calls exec verify that remaining args
                # matches another filter.
                def non_chain_filter(fltr):
                    return (fltr.run_as == f.run_as
                            and not isinstance(fltr, filters.ChainingFilter))

                leaf_filters = [fltr for fltr in filter_list
                                if non_chain_filter(fltr)]
                args = f.exec_args(userargs)
                if not args:
                    continue
                try:
                    match_filter(leaf_filters, args, exec_dirs=exec_dirs)
                except (NoFilterMatched, FilterMatchNotExecutable):
                    continue

            if not f.get_exec(exec_dirs=exec_dirs):
                if not first_not_executable_filter:
                    first_not_executable_filter = f
                continue
            return f

    if first_not_executable_filter:

利用CommandFilter.get_command得到最终的参数

    def get_exec(self, exec_dirs=None):
        """找出self.exec_path的绝对路径,如找出/usr/bin/ovs-vsctl"""
        exec_dirs = exec_dirs or []
        if self.real_exec is not None:
            return self.real_exec
        if os.path.isabs(self.exec_path):
            if os.access(self.exec_path, os.X_OK):
                self.real_exec = self.exec_path
        else:
            for binary_path in exec_dirs:
                expanded_path = os.path.join(binary_path, self.exec_path)
                if os.access(expanded_path, os.X_OK):
                    self.real_exec = expanded_path
                    break
        return self.real_exec

    def get_command(self, userargs, exec_dirs=None):
        """Returns command to execute."""
        exec_dirs = exec_dirs or []
        to_exec = self.get_exec(exec_dirs=exec_dirs) or self.exec_path
        return [to_exec] + userargs[1:]

最后得到

command = ["/usr/bin/ovs-vsctl", "add-br", "bridge_name"]

用下面这幅图总结一下

5.利用oslo_rootwrap来给自己的代码添加执行权限控制

下面实现一个以普通用户user1执行代码读取iptables规则,并利用oslo_rootwrap进行控制的过程

为了防止sudoers.d文件夹下的文件修改出错,我们新建一个用户user1

0.新建一个用户user1

$ useradd user1

$ usermod user1 -s /bin/bash 

$ passwd user1

1.安装oslo_rootwrap

sudo apt-get install python-oslo-rootwrap
sudo pip install oslo_rootwrap

2.编写/usr/bin/user1-rootwrap

sudo vi /usr/bin/user1-rootwrap

user1-rootwrap:

#! /usr/bin/python2
import sys

from oslo_rootwrap.cmd import main

if __name__ == "__main__":
    sys.exit(main())

改变/usr/bin/user1-rootwrap的权限为755

sudo chmod 755 /usr/bin/user1-rootwrap

3.创建 /etc/user1/rootwrap.conf

sudo mkdir /etc/user1
sudo vi /etc/user1/rootwrap.conf

rootwrap.conf

[DEFAULT]

filters_path=/etc/user1/rootwrap.d

exec_dirs=/sbin,/usr/sbin,/bin,/usr/bin,/usr/local/bin,/usr/local/sbin

use_syslog=False

syslog_log_facility=syslog

syslog_log_level=ERROR

4.创建/etc/user1/rootwrap.d文件夹以及iptables.filters

sudo mkdir /etc/user1/rootwrap.d
sudo vi /etc/user1/rootwrap.d/iptables.filters

iptables.filters:

[Filters]
iptables: CommandFilter, iptables, root

5.添加user1对sudo /usr/bin/user-root的免密执行

为了避免应修改/etc/sudoers.d失误,造成sudo不可用的问题(解决/etc/sudoers权限出错导致sudo不可用),采用visudo

visudo

然后在最后一行添加

user1 ALL=(root) NOPASSWD: /usr/bin/user1-rootwrap /etc/user1/rootwrap.conf *

6.测试

root@host:/$ su user1
密码: 
user@host:/$sudo /usr/bin/user1-rootwrap /etc/user1/rootwrap.conf iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination  

user@host:/$sudo /usr/bin/user1-rootwrap /etc/user1/rootwrap.conf ip a
/usr/bin/user1-rootwrap: Unauthorized command: ip a (no filter matched)

成功

xjtu_qyq
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rootwrap模块解析以及功能扩展
溜溜小哥
07-28 5487
感谢朋友支持本博客,欢迎共同探讨交流,由于能力和时间有限,错误之处在所难免,欢迎指正!如果转载,请保留作者信息。博客地址:http://blog.csdn.net/gaoxingnengjisuan邮箱地址:dong.liu@siat.ac.cnPS:因为各方面的原因好久没有写博客了,有时间还是要写一写的!    使用rootwrap的目的就是针对系统某些特定的操作,让非特权用户以root用户的身
openstack nova 源码分析
Shallow的博客
08-18 1164
APIRouterV21 基于 ROUTE_LIST,使用 Routes 模块作为 URL 映射的工具,将各个模块所实现的 API 对应的 URL 注册到 mapper 中,并把每个资源都封装成。实际调用 oslo_service 的 launch 函数,创建绿色线程(greenthread)或进程,最终调用 Service 实例的 start 方法。目录包含每个 API 对应的 Controller 实现,Resource 对象将请求的 API 映射到相应的 Controller 方法上。...
openstack root-wrap
sufetion的专栏
07-27 1637
一.nova-rootwrap的作用 部署玩过openstack的都应该知道,它会生成一个nova用户来管理所有服务.nova身份在linux中属于普通用户级别,避免了一些需要root身份运行的操作,提高linux系统的安全性. 但是openstack在实际过程中会调用很多外部命令,例如就network服务而言就有:`ip`,`ovs-vsctl`,`iptables`,`dnsmasq`,`
Neutron-rootwrap (by quqi99)
技术并艺术着
06-05 3095
在代码中我们常常需要在普通用户下以root用户免密码运行一些命令,例如:sudo neutron-rootwrap /etc/neutron/rootwrap.conf  ip netns exec qrouter-d5943aab-4110-4856-bfd5-fb6cea4ee09b neutron-netns-wrapper --mount_paths=/etc:/tmp/tmpdQuMgD
oslo_rootwrap学习小结
最新发布
peter6768的博客
06-06 228
参考官方文档与部署环境学习ceilometer yoga版本一个ipmi指标hardware.ipmi.node.power采集主机电源功率,存在两个问题:1默认采集逻辑只能在intel平台跑,无法在非intel跑, 2无rootwrap daemon情况下无法采集。解决这两个问题的过程用到了rootwrap
openstack之网络分析2
周二也被占用
03-15 1024
neutron如何让tap和虚拟机建立联系? 这几天的收获是,看日志不仅要分析控制节点的日志,还要分析物理节点的日志。而且物理节点和虚拟机的相关性更大一点。从物理节点的neutron日志分析中可以得到更多答案。   这些是删除虚拟机时日志中出现的部分命令 ['sudo', 'neutron-rootwrap', '/etc/neutron/rootwrap.conf', 'iptables
openstack开发实践(九):openstack软件包管理和自制python软件包
weixin_41977332的博客
08-29 749
setup.cfg文件解析 软件包管理是每个OpenStack项目的基础,其目的是用来将项目代码打包成源码包或者二进制包进行分发。openstack使用了setuptools作为打包工具,setuptools提供了很多高级功能,包括自动依赖处理、Egg分发格式以及easy_install命令。setuptools的使用方式和disutils差不多,也是以一个setup函数作为入口,只不过该函数来自于setuptools模块,而且支持更多的参数,比如classifiers, setup_requires等,参
OpenStack的架构详解
03-02
OpenStack既是一个社区,也是一个项目和一个开源软件,它提供了一个部署云的操作平台或工具集。其宗旨在于,帮助组织运行为虚拟计算或存储服务的云,为公有云、私有云,也为大云、小云提供可扩展的、灵活的云计算。...
OpenStack架构详解.pdf
10-02
OpenStack 架构详解 OpenStack 是一个开源的云计算平台,提供了一个操作平台或工具包,用于编排云计算资源。 OpenStack 由社区维护,包括 OpenStack 计算(Nova)、OpenStack 对象存储(Swift)和 OpenStack 镜像...
OpenStack Neutron 原理详解
04-10
OpenStack Neutron 原理详解
openstack架构详解
07-11
OpenStack 是一个强大的开源云计算平台,它包含了多个组件,旨在为各类组织提供部署和管理云基础设施的能力。OpenStack 的核心组件包括 Nova(负责计算)、Swift(负责对象存储)和 Glance(负责镜像服务),这些...
python-oslo-rootwrap-doc-5.15.3-1.el7.noarch.rpm
01-24
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
Rootwrap
telnetning的专栏
02-06 579
Rootwrap架构目的root 封装器的目标是,允许一个服务特有的非特权用户以可能的最安全的方式去以 root 用户去运行一些命令。曾经,Nova 使用一个特定的 sudoers 文件列出所有的 nova 用户允许运行的命令列表,运行时直接使用 sudo 来以 root 用户执行。然而,这种方式难以管理。sudoers 文件是特定包的一部分。它不允许复杂的过滤参数。
Linux syslog 日志服务
weixin_45004203的博客
03-21 5056
介绍总结 linux 下 syslog 日志服务
Openstack rootwrap
shajc0504的专栏
08-23 607
The goal of the root wrapper is to allow a service-specific unprivileged user to run a number of actions as the root user, in the safest manner possible. Historically, Nova used a specific sudoers f
rootwrap 权限控制
qq_43373608的博客
07-11 249
rootwrap 参考这两个 drv_cfg: CommandFilter, /opt/emc/scaleio/sdc/bin/drv_cfg, root, /opt/emc/scaleio/sdc/bin/drv_cfg, --query_guid ceph: RegExpFilter, ceph, root, ceph, -v hans ALL=(root) useradd,userdel [Filters] privileged/init.py: priv_context.PrivContext(de
OpenStack学习笔记之-Nova组件深入了解
m0_51734025的博客
06-23 3302
视频了解:nova组件是用来建虚拟机的(功能:负责响应虚拟机创建请求、调度、销毁云主机)nova主要组成:nova-api:负责接收外部的rest api的请求nova-scheduler:负责调度(相当于nova-api的秘书)nova-compute:负责具体的去调相关的虚拟化驱动nova-conductor:帮助nova-computer查看数据库,然后将消息通过message queue传给nova-computer为什么查看数据库时要借助nova-conductor而不是nova-computer
OpenvSwitch系列之三 ovs-vsctl命令使用
weixin_44260459的博客
11-28 7736
OpenvSwitch的操作命令有若干个,其中比较重要的有 ovs-vsctl获取或者更改ovs-vswitchd的配置信息,此工具操作的时候会更新ovsdb-server中的数据库 ovs-ofctl 操作交换机里的流表 ovsdb-tool对ovsdb数据库操作,不经过ovsdb-server模块 前面已经介绍过了ovs-ovsctl命令是对交换机上网桥和端口等信息进行配置的命令。这里首先需要说明一下ovs的概念中 ‘桥’ 这个词的意思就是指交换机。我们说创建一个网桥,其实...
OpenStack安装详解:构建云计算基础设施
云计算与OpenStack是现代信息技术领域的重要组成部分,旨在通过虚拟化技术提供高效、灵活和可扩展的IT基础设施服务。本篇文档是一份详细的OpenStack安装图解教程,涵盖了云计算基础知识、OpenStack架构解析以及实际...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值