openstack的安全

最新推荐文章于 2024-02-05 23:55:45 发布
最新推荐文章于 2024-02-05 23:55:45 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014143730/article/details/36170981
版权

分析了一段时间openstack的安全,觉得有下面这些事情要做:

(1)防止权限提升

A. 原生系统的密码是明文保存在配置文件里面,对于无权访问keystone和数据库,但是有权限访问配置文件的操作系统用户,他可以通过读取配置文件来提升自己的权限。

   要通过对oslo.config进行改造,来解决该问题(注意swift不使用oslo.config)。方法是把密码加密后保存在配置文件中,再在读取配置文件的库oslo.config中进行解密。

   oslo.config是openstack组织自己开发的库,本来是用来读取文件的,通过修改他,我们能实现配置文件的加密读取。

   配置文件加密的方法有两种,全文件加密,单个配置项单独加密。第一种方法控制简单,但是流程改动大,上层需要告知,因此我们建议用第二种。

  即在读取到固定配置项后,再进行解密。

  从安全的角度来看,密码是要一段时间修改一次的。因此在多节点的环境上,在修改完密码后,需要同步各个节点的配置,因此要提供脚本来自动修改所有的配置文件中的密码。要修改的有:keystone的内置账号密码,数据库密码,rabbitmq的密码,ceilometer的mongodb的密码,ceilometer各agent通信用的密码等。


B. 通过增加pipeline过滤日志中的敏感信息(token、password、email)。

因为日志级别设置高了,问题难以定位;设置低了,日志(特别是keystone)会记录token、password之类的信息。这些信息&#x

最低0.47元/天 解锁文章
kes-
关注
专栏目录
OpenStack安全组添加规则报错解决
weixin_40548182的博客
01-08 1471
添加安全组规则报错 修改安全组配额 cat /etc/neutron/neutron.conf [quotas] quota_security_group = 100 quota_security_group_rule = 1000 重启neutron进程 systemctl restart neutron-server.service neutron-linuxbridge-agent.service neutron-dhcp-agent.service neutron-metadata-agen
OpenStack安全组与外部网络
My
06-01 3351
1 管理外部网络 1)OpenStack网络: OpenStack网络服务(代号Neutron)是 OpenStack 的网络框架。使用基于插件的架构 管理员可以通过创建和配置网络、子网、虚拟设备和网络路由来部署复杂网络拓扑 原始的OpenStack 网络实施(代号Nova)的 网络隔离通过利用VLAN和Netfilter来进行。Neutron 网络服务使用插件来提供可插拔式API后端。...
OpenStack安全参考指导 security-guide
09-22
OpenStack安全参考文档 security guide
OpenStack安全性分析:开源云软件的利与弊
weixin_33816300的博客
02-08 415
OpenStack安全性分析:开源云软件的利与弊 有人要求我对OpenStack开源云计算平台进行简要的安全性分析,并简要分析我们的企业是否应该把开源云计算平台作为云基础设施建设的基础去追求。我的初步评估是,像Apache和 Linux,平台的开放性让我们能迅速发现和修复安全漏洞,这可以降低溢出的可能性。你们同意吗?还有其他值得考虑的OpenSta...
干货丨OpenStack 安全加固探索与实践
weixin_54750412的博客
08-09 537
本文章转自@twt社区,【作者】付广平。 【摘要】本文详细介绍了针对开源OpenStack安全加固优化措施,包括配置文件信息加密、VNC密码认证等,最后介绍了针对OpenStack平台的安全加固方案,如对OpenStack内部服务访问进行严格控制以及配置文件和源码的读写权限设置等。 1 前言 在构建企业私有云时,除了平台的功能性和稳定性,安全性也是非常重要的因素,尤其对于银行业,数据中心以及监管部门对平台的安全性要求更高。 OpenStack是IaaS的开源实现,经过几年的发展,OpenStack的功能越
关于安全OpenStack都下了哪些功夫?
开源云中文社区
06-04 1292
导读OpenStack是一个被广泛部署的开源云平台,但默认情况下它不一定安全。以下OpenStack专家所说的将有助于你确保云的安全。开源的OpenStack云平台被沃尔...
OpenStack安全实用指南
开源云中文社区
10-10 509
以下是过去几年在OpenStack中发现的几个严重漏洞,它们成了通用漏洞枚举(CVE)。什么是OpenStackOpenStack是一个开源软件平台,最初于2010年开发,允许组织构建和维护公共和私有云。OpenStack使在基础设施即服务(Infrastructure-as-a-Service,IaaS)模型中创建具有计算、存储和网络组件的云基础设施成为可能。它是为灵活性、大规模可扩展性和企业...
syntribos, OpenStack安全组的python API安全测试工具.zip
09-18
syntribos, OpenStack安全组的python API安全测试工具 团队和知识库标签 Syntribos,自动化的API安全测试工具 syntribos xxxxxxx x xxxxxxxxxxxxx x x xxxxxxxxxxx x xxxxx
openstack安全
04-07
OpenStack安全是指在OpenStack云平台中实施的各种安全措施,以确保OpenStack云环境的安全性和可靠性。以下是一些OpenStack安全措施: 1. 访问控制:OpenStack使用身份验证和授权技术来控制用户对云资源的访问。用户...
OpenStack安全控制与实践:OpenStack安全技术全览
## 1.2 为什么需要OpenStack安全控制 随着云计算的快速发展,云平台的安全性成为越来越重要的关注点。OpenStack作为一个云计算平台,也面临着各种安全威胁和风险。为了保障用户数据的隐私和安全,提高OpenStack平台...
OpenStack安全特性分析与部署(毕业设计).docx
11-21
本文基于网络安全等级保护2.0基本要求,从安全通用要求和云计算安全扩展要求对OpenStack云计算平台进行安全特性分析,提出了一套安全OpenStack云计算平台解决方案并对解决方案进行实现和验证测试,编写了“OpenStack安全部署指导书”。(平台搭建版本:Queen版本,安全部署主要包括https安全传输、服务组件日志集中收收集、云主机迁移、VxLAN网络、配置用户密码策略、流量监控、防火墙即服务FwaaS、安全组规则、浮动IP、iptables防火墙、KVM热添加硬盘、磁盘加密、磁盘安全擦除等)
Openstack中防火墙和安全组的区别
03-19
本文讲述了OpenStack中防火墙和安全组的区别,写的很详细。供大家学习。
OpenStack日志管理&配置管理安全性分析
Casbin开源社区
10-21 2313
OpenStack云平台的功能复杂、组件繁多,很多功能的设置都需要专门的配置管理模块来完成。在OpenStack云平台中,oslo项目就主要负责独立出系统中可重用的基础功能,其中oslo.config库用于解析命令行和配置文件中的配置选项。在配置管理中,最核心的组件就是配置文件,配置文件是存储于云平台服务器磁盘上的文本文件,通常采用INI格式,由于配置文件存储的信息比较敏感,因此需要比较高的安全性,一般访问权限都设置是“owner可读写、group可读、others无权限”。这些配置文件种类繁多、里面的设置
深入理解死亡之Ping ---《openstack 网络安全
不积跬步,无以至千里;不积小流,无以成江海。
05-31 1348
ping命令通常用来作为网络可用性的检查。ping命令可以对一个网络地址发送测试数据包,看该网络地址是否有响应并统计响应时间,以此测试网络。
OpenStack自身的安全机制有哪些?
weixin_37991446的博客
08-23 601
公有云中最常见的安全威胁 主要分布式服务拒绝攻击(DDOS)、进行身份伪装的欺诈、篡改租户磁盘或内存中的数据信息、对某种操作或请求进行恶意否定、恶意升级租户权限、向无权用户泄露信息等,这些安全威胁可能来自于外部网络、公有云本身漏洞或者恶意租户。 OpenStack自身的安全机制 基于公钥基础架构的PKI 基于SSL/TLS的HTTP会话 Keystone中集成成熟的用户验证管理系统(如LDAP) 数字签名 多租户隔离 强制访问控制(Mandatory Access Control,MAC) 基于角色访问控
OpenStack中加固VNC访问安全
北观止的博客
06-23 1516
OpenStack中加固VNC访问安全 1.问题发现 很多同学使用noVNC之后都没有退出终端的习惯,往往都是用完了就直接关闭网页窗口。说这样隐患很大,如果内网里面有一些script kiddie随时都能将我们线上的虚拟机VNC端口扫出来。 下面使用nmap测试一下开发环境中的计算节点的端口开放情况。 ubuntu@ubuntu:~ $ nmap 192.168.23.12 Starting Nmap 7.70 ( https://nmap.org ) at 2019-06-13 19:22 CST Nma
OpenStack安全策略提升
最新发布
qq_46062641的博客
02-05 835
OpenStack安全策略提升
OpenStack安全加固以应对来自Compute节点的攻击
Casbin开源社区
06-06 1766
Hardening OpenStack Cloud Platforms against Compute NodeCompromises, AsiaCCS’16 (C类), 2016年5月[1] 美国石溪大学和AT&T实验室的研究人员针对OpenStack云平台的安全性进行了研究。OpenStack云平台主要由Controller节点和Compute节点组成。由于Compute节点数目众多,并且上面运行虚拟机(可能是恶意的),难以保证其中某些Compute节点不被攻击者攻破。本文发现,一旦攻击者拿到一个Co
openstack手动部署,检查安全组的时候报错,在线求一个解决方法
My0117的博客
02-04 382
【代码】openstack手动部署,检查安全组的时候报错,在线求一个解决方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值