OpenStack安全策略提升

最新推荐文章于 2024-06-24 12:49:25 发布
最新推荐文章于 2024-06-24 12:49:25 发布
阅读量1.7k 收藏 24
点赞数 3
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50981675/article/details/118764348
版权

一、 首先要了解一下HTTP协议与HTTPS协议的区别(可以百度了解一下)
本质就是将HTTP协议提升为HTTPS协议,HTTPS协议 = HTTP协议 + SSL/TLS协议

 SSL的全称是Secure Sockets Layer,即安全套接层协议,是为网络通信提供安全及数据完整性的一种安全协议。SSL协议在1994年被Netscape发明,后来各个浏览器均支持SSL,其最新的版本是3.0
 
TLS的全称是Transport Layer Security,即安全传输层协议,最新版本的TLS(Transport Layer Security,传输层安全协议)是IETF(Internet Engineering Task Force,Internet工程任务组)制定的一种新的协议,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。在TLS与SSL3.0之间存在着显著的差别,主要是它们所支持的加密算法不同,所以TLS与SSL3.0不能互操作。虽然TLS与SSL3.0在加密算法上不同,但是在我们理解HTTPS的过程中,我们可以把SSL和TLS看做是同一个协议。

所以在这里我们就是在HTTP协议加上一些安全协议

直观的感受一下变化:
1、没有进行安全策略提升的,也就是使用HTTP协议的
浏览器地址:在这里插入图片描述

浏览器内的样子:在这里插入图片描述

2、进行了安全策略提升的,也就是HTTPS协议
浏览器地址:在这里插入图片描述
浏览器内的样子:(明显不安全的字样变成了红色)
在这里插入图片描述

二、配置https协议
1、配置yum源
上传了一个压缩包https-repo.tar.gz,用作yum源

[root@controller ~]# ls
anaconda-ks.cfg             CentOS-7-x86_64-DVD-1511.iso  https-repo.tar.gz
CentOS_7.2_x86_64_XD.qcow2  cirros-0.3.4-x86_64-disk.img  XianDian-IaaS-v2.2.iso
[root@controller ~]# tar -zxvf https-repo.tar.gz -C /opt
[root@controller ~]# vi /etc/yum.repos.d/ssl.repo
[ssl]
name=ssl
baseurl=file:///opt/https-repo
gpgcheck=0
enabled=1
[root@controller ~]# yum clean all
Loaded plugins: fastestmirror
Cleaning repos: centos iaas ssl
Cleaning up everything
Cleaning up list of fastest mirrors
[root@controller ~]# yum repolist
Loaded plugins: fastestmirror
centos                                                                                                | 3.6 kB  00:00:00     
iaas                                                                                                  | 2.9 kB  00:00:00     
ssl                                                                                                   | 2.9 kB  00:00:00     
(1/4): centos/group_gz                                                                                | 155 kB  00:00:00     
(2/4): iaas/primary_db                                                                                | 2.3 MB  00:00:00     
(3/4): ssl/primary_db                                                                                 | 8.3 kB  00:00:00     
(4/4): centos/primary_db                                                                              | 2.8 MB  00:00:00     
Determining fastest mirrors
repo id                                                     repo name                                                  status
centos                                                      centos                                                     3,723
iaas                                                        iaas                                                       1,688
ssl                                                         ssl                                                            8
repolist: 5,419

2、安装服务

[root@controller ~]# yum install -y mod_wsgi httpd mod_ssl

安装时出的错
在这里插入图片描述

我的环境需要我安装一个依赖,(根据他的提示找到的依赖包 https://blog.csdn.net/ruoxiyun/article/details/86980974)
下载依赖包的rpm包然后上传安装

[root@controller ~]# ls
anaconda-ks.cfg             CentOS-7-x86_64-DVD-1511.iso  https-repo.tar.gz                        XianDian-IaaS-v2.2.iso
CentOS_7.2_x86_64_XD.qcow2  cirros-0.3.4-x86_64-disk.img  openssl-libs-1.0.2k-21.el7_9.x86_64.rpm
[root@controller ~]# rpm -ivh openssl-libs-1.0.2k-21.el7_9.x86_64.rpm --force
warning: openssl-libs-1.0.2k-21.el7_9.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID f4a80eb5: NOKEY
Preparing...                          ################################# [100%]
Updating / installing...
   1:openssl-libs-1:1.0.2k-21.el7_9   ################################# [100%]

然后再重新安装

3、修改ssl配置文件
修改/etc/httpd/conf.d/ssl.conf配置文件,具体修改内容如下:

#SSLProtocol all -SSLv2 -SSLv3    //找到该行,并注释
SSLProtocol all -SSLv2            //添加该行

4、开启SSL
配置/etc/openstack-dashboard/local_settings 配置文件,修改参数如下所示:

CSRF_COOKIE_SECURE = True             //将该行的注释取消
SESSION_COOKIE_SECURE = True          //将该行的注释取消
USE_SSL = True                           //添加该行
SESSION_COOKIE_HTTPONLY = True       //添加该行

5、重启服务
在修改完上述的配置文件后,重启httpd服务和缓存服务,命令如下:

[root@controller ~]# service httpd restart
Redirecting to /bin/systemctl restart httpd.service
[root@controller ~]# service memcached restart
Redirecting to /bin/systemctl restart memcached.service

最后浏览器访问dashboard
输入IP地址进行访问:https://172.33.16.10/dashboard,通过https访问dashboard管理平台,如下图所示:
在这里插入图片描述
到这里,将OpenStack的Dashboard访问策略提升至https成功。

月亮归我了
关注
专栏目录
21年广东省云计算技能大赛样卷(云平台安全策略提升
weixin_46396917的博客
05-09 202
将私有云平台的访问策略从http提升至https
【安全系列】OpenStack云平台入侵检测系统的设计与实践
程序员光剑
10-10 891
OpenStack(Open Source Cloud Operating System)是一个开源的云计算平台即服务(Cloud OS),基于Apache软件基金会、Mirantis公司开发的一种私有云解决方案。它提供了一套完整的基础设施,包括计算、网络、存储、负载均衡等资源管理能力。用户可以方便地部署自己的应用、服务或数据,并将其运行在云端。通过OpenStack云平台,云管理员可以方便地进行云计算资源的创建、调度、分配、监控和使用,从而实现业务快速拓展、节约成本、降低风险。
openstack云平台访问安全http->https
流金岁月的专栏
06-10 3566
Ubuntu下HTTPS配置非常简单,对大部分用户而言,使用普通的自签名证书,只需按照步骤进行就可以了,无需了解密钥、证书的更多知识,更深的背景知识还有RSA算法、DES算法、X509规范、CA机构...等等,随便哪个方向都够学习一阵子的,所幸的是有了OpenSSL、OpenSSH等这些开源免费的软件,把很多底层的算法、规范都集成了,对上层应用而言,只需一二三操作即可,至多到官网去查查一些特殊的命
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷8(私有云)
最新发布
wangchuan_yyd的博客
06-24 797
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷8(私有云)
云计算基础运维任务云平台安全策略提升
12-18 498
使用OpenStack私有云平台,通过提供的相关软件包,安装必要组件,将私有云平台的访问策略从http提升至https。完成后提交控制节点的用户名、密码和IP地址到答题框。#SSLProtocol all -SSLv2 -SSLv3 //找到该行,并注释。SSLProtocol all -SSLv2 //添加该行。修改/etc/httpd/conf.d/ssl.conf配置文件。CSRF_COOKIE_SECURE=True #去掉注释。在#debug=flase下增加4行。
Openstack安全规则说明
weixin_33828101的博客
10-18 214
   openstack的安全规则,主要是在网络控制器,nova-network中进行的端口限制,所以我们需要对规则进行定制。 定制通用安全组规则 通用安全组规则主要包括2个,1是支持ping的icmp协议,2是支持ssh的远程登录规则。 点击“编辑规则” 点击“添加规则” 选择我们要使用的规则,这里我们要连续对"default"规则添加基础的2项,即icmp规则和ssh规...
openstack安全策略配置
weixin_33940102的博客
04-08 855
安全组系统为每个租户默认创建一个安全组,安全组规则为:允许所有流出流量允许相同安全组的虚拟机流入流量支持用户自定义安全组支持用户添加和删除安全组规则安全组规则包括Ingress和Egress,分别用于控制虚拟机的流入和流出流量remote选项支持配置CIDR或安全组,当配置为另一个安全组时,则另一个安全组中的所有实例允许访问本安全组中的所有实例支持绑定安全组到虚拟机实例支持在...
将keystone安全策略从http优化至https
weixin_51788903的博客
11-27 1675
1.安装yum install mod_ssl -y 安装完之后发现多了一个ssl.conf 文件 2.添加 vi /etc/openstack-dashboard/local_settings 49 CSRF_COOKIE_SECURE = True --取消注释 50 SESSION_COOKIE_SECURE = True --取消注释 3.重启httpd服务 systemctl restart httpd 4.web访问结果 https://192.168.20.30/dashboard/
OpenStack安全加固:实现OpenStack环境的安全配置
# 第一章:OpenStack安全概述 ## 1.1 OpenStack安全性意识的重要性 在当今信息化时代,随着云计算技术的迅猛发展,OpenStack作为一种开源的云计算平台,被广泛应用于各个领域。然而,随之而来的安全威胁也日益增多...
openstack技术
12-17
- **身份验证与授权**:Keystone服务提供了强大的认证机制,确保云资源的安全访问。 通过深入学习OpenStack技术,IT工程师不仅能够理解和掌握云计算的基础概念和技术背景,还能熟练运用OpenStack的各种功能模块,...
openstack
Z_RINGRUI的博客
09-27 799
OpenStack是一个开源的云计算管理平台项目,是一系列软件开源项目的组合。由NASA(美国国家航空航天局)和Rackspace合作研发并发起,以Apache许可证(Apache软件基金会发布的一个自由软件许可证)授权。OpenStack为私有云和公有云提供可扩展的弹性的云计算服务。项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。Openstack是一个云平台管理的项目,它不是一个软件。这个项目由几个主要的组件组合起来完成一些具体的工作。
https-repo.tar.gz
07-15
配置OpenStack安全策略时使用的包
repo.tar.gz
10-22
repo是一种代码版本管理工具,它是由一系列的Python脚本组成,封装了一系列的Git命令,用来统一管理多个Git仓库。repo工具下载.
OpenStack安全实用指南
开源云中文社区
10-10 509
以下是过去几年在OpenStack中发现的几个严重漏洞,它们成了通用漏洞枚举(CVE)。什么是OpenStackOpenStack是一个开源软件平台,最初于2010年开发,允许组织构建和维护公共和私有云。OpenStack使在基础设施即服务(Infrastructure-as-a-Service,IaaS)模型中创建具有计算、存储和网络组件的云基础设施成为可能。它是为灵活性、大规模可扩展性和企业...
2022年全国职业院校技能大赛(高职组)“云计算”赛项赛卷①第一场次:私有云
旺仔Sec&blog
12-28 1807
8.使用提供的脚本框架 iaas-install-cinder-controller.sh 和 iaas-install-cinder-compute.sh, 填充脚本,在 controller 和 compute 节点上安装 cinder 服务并完成配置。5.使用提供的脚本框架 iaas-install-nova-controller.sh 和 iaas-install-nova-compute.sh,填充脚本,在 controller 和 compute 节点上安装 nova 服务并完成配置。
GZ075 云计算应用赛题第8套
weixin_43454620的博客
01-15 1006
​ 2023年全国职业院校技能大赛(高职组) “云计算应用”赛项赛卷8 某企业根据自身业务需求,实施数字化转型,规划和建设数字化平台,平台聚焦“DevOps开发运维一体化”和“数据驱动产品开发”,拟采用开源OpenStack搭建企业内部私有云平台,开源Kubernetes搭建云原生服务平台,选择国内主流公有云平台服务,基于数字化平台底座,面向业务开发边缘计算云应用产品。 拟将该任务交给工程师A与B,分工协助完成云平台服务部署、云应用开发、云系统运维等任务,系统架构如图1所示,IP地址规划如表1所示。
2023年“中银杯”四川省职业院校技能大赛“云计算应用”赛项(高职组)样题(第3套)
君逍遥o
12-05 1157
某企业根据自身业务需求,实施数字化转型,规划和建设数字化平台,平台聚焦“DevOps开发运维一体化”和“数据驱动产品开发”,拟采用开源OpenStack搭建企业内部私有云平台,开源Kubernetes搭建云原生服务平台,选择国内主流公有云平台服务,基于数字化平台底座,面向业务开发边缘计算云应用产品。 拟将该任务交给工程师A与B,分工协助完成云平台服务部署、云应用开发、云系统运维等任务,系统架构如图1所示,IP地址规划如表1所示。
配置OpenStack dashboard使用HTTPS
Jeremy__Liu的博客
04-28 4886
OpenStack dashboard配置HTTPS访问
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值