从cloudstack默认配置看NFS安全

最新推荐文章于 2024-09-04 09:15:34 发布
最新推荐文章于 2024-09-04 09:15:34 发布
阅读量201 收藏
点赞数
文章标签: 运维
原文链接:https://juejin.im/post/5aa1154e6fb9a028c06a683f
版权

霍大然 · 2014/04/24 11:52

看到有同学写了关于NFS的运维安全,本菜鸟以cloudstack为例也写下关于NFS访问控制安全吧。

0x00 NFS默认配置缺陷

在Cloudstack云平台部署时,按照apache官方的安装文档,如果又不对管理网络进行隔离会导致整个云环境中的虚拟机处于危险状态:

cloudstack.apache.org/docs/zh-CN/…

1.     配置新的路径作为 NFS 引入, 编辑/etc/exports。引入NFS 共享用rw,async,no_root_squash。例如:

#!bash
#vi /etc/exports
复制代码

插入下列行。

/export *(rw,async,no_root_squash)
复制代码

看到如上的配置exports文件,小伙伴们震惊了吧,任意用户可以读取与写入文件,该配置是对整个云环境的存储做的配置,也就意味着任意能够访问到该IP的用户都可控制整个云系统。

0x01 攻击权限配置不当的NFS系统

只要在云环境中的任意一台主机进行查看:

然后进行mount 该文件夹,可以任意操作该存储上的虚拟机:

0x02 漏洞修复

还是/etc/exports下的文件,如果配置成如下模式则可减少风险(我说的仅仅是减少):

/export 172.19.104.6(rw,async,no_root_squash)
复制代码

这样就把访问控制给了单独的IP,但这样是不是就安全了,小伙伴们可以继续想伪造IP的办法来绕过了。

weixin_33832340
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cloudstack+XenServer配置和管理一个简单的云平台
u011289922的博客
11-19 4382
Cloudstack+XenServer配置和管理一个简单的云平台 基本配置Cloudstack4.3,XenServer6.2 操作系统:centos6.6-mini-x64   基本介绍:Cloudstack是一个开源的Iaas平台,XenServer则是一个成熟的服务器端虚拟化软件,此二者能够完美结合。早在Cloudstack开源之前,它就与XenServer配合的很好。因为Hyp
虚拟化与云- Web界面配置使用CloudStack
鬼刺
01-10 763
CloudStack云平台的搭建方法已在上篇文章中阐述,详见https://blog.csdn.net/qq_35550345/article/details/83754649 一 环境准备 本文适用于使用搭建的CS纳管Vcenter,因此还需要对Vcenter进行相关配置。 1 VCenter配置方法 VCenter的安装配置详见 https://blog.c...
CloudStacknfs
weixin_30950887的博客
04-12 117
http://book.51cto.com/art/200811/96794.htm http://linux.vbird.org/linux_server/0330nfs.php#What_NFS_NFS 转载于:https://www.cnblogs.com/xiaofan21/archive/2013/04/12/3016430.html
多个cloudstack环境公用一个NFS服务器
weixin_33970449的博客
11-06 79
有时候有下面这样的需求: 多个cloudstack公用一个NFS服务器。 可以按照如下的步骤进行设置: 1、编辑/etc/exports文件,加入下面的信息 /export/export-1.0 *(rw,async,no_root_squash) /export/export-2.0 *(rw,async,no_root_squash) 2、在相应的目录...
CloudStack【4.13】安装配置
班婕妤
03-31 3263
推荐配置及版本说明 操作系统版本:CentOS7.5以上,建议7.7 内核版本:4.9以上,建议5.6 cloudstack版本为:4.13 系统模板版本为:4.13.3 qemu-img版本为:2.0以上建议3.9 【仅限管理服务器】 查看、升级指令 1:centOS版本 # 查看centOS版本: cat /etc/redhat-release # 升级命令 yum -y upgrade 2:内核版本 # 查看内核版本: cat /proc/version或uname -a # 升级 # 下载地址1
Cloudstack常用端口(Ports used by CloudStack
wenwenxiong的专栏
08-17 1564
Cloudstack常用端口(Ports used by CloudStack) 管理服务器: 8080: 主界面 / 授权API端口 8096: 用户/客户端连接CS管理端 (不可靠的) 8787: CloudStack (Tomcat) debug socket 9090: Cloudstack群集 管理服务接口 45219: JMX console 系统VM代理通信 -
CloudStack 4.2快速安装流程
08-13
2. **数据库服务**:用于存储 CloudStack配置数据和其他相关信息。 3. **CloudStack 管理端软件**:负责整个系统的管理和服务协调。 4. **虚拟化主机**:提供计算资源,支持 XenServer、KVM 或 VMware 等虚拟化...
ubuntu104lts版上安装cloudstack0含agentnfs配置.pdf
10-14
16. **配置NFS共享**:编辑`/etc/exports`文件,配置NFS共享规则。 17. **刷新NFS配置**:使用`exportfs -a`命令使NFS共享生效。 18. **挂载NFS共享**:挂载NFS服务器上的共享目录到本地的`/mnt/primary`和`/mnt/...
ubuntu104lts版上安装cloudstack0含agentnfs配置.docx
10-14
在本文中,我们将详细探讨如何在Ubuntu 12.04 LTS版本上安装CloudStack 4.0,包括Agent和NFS配置。首先,我们强调这是一项针对互联网行业的cs(CloudStack)技术操作。 第一步是配置Ubuntu的软件源。由于默认源可能...
CloudStack 4.2.1 + KVM 问题
weixin_34228662的博客
12-24 432
cloudstack4.21 + kvm 故障系统有问题应先看看日志信息;# /var/log/cloudstack/management/management-server.log1、全局设置:secstorage.allowed.internal.sites 改为 10.10.10.0/24(实际存储网段)management.network.cidr 改为 10....
nfs目录挂载
xiaokaige198747的专栏
07-01 4590
什么是NFSNFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。 nfs服务器端的设置 nfs在服务器端的配置可以直接通过配置文件进行设置,修改 /etc/exports,增加共享目
CloudStack 配置和管理一个简单云
mypods
07-18 3121
CloudStack配置、部署与管理,以及 API 的使用 CloudStack 是 Ctrix 公司在 IaaS 市场上的主打产品,它提供了对云计算资源的灵活部署与管理能力。今年上半年 Ctrix 将其源代码贡献给 Apache 后,CloudStack 成为一个开源项目。这类开源项目的文档虽历经完善,但作为一个云计算领域的新手开始尝试它的安装与部署时,总还是遇到或多或少的挑战。这便是
cloudstack 全局变量设置
一代枭雄的专栏
03-17 551
system.vm.use.local.storage 用本地存储需在环境变量这里设置true secstorage.allowed.internal.sites 设置CIDR 无类别域间路由 skip 重启服务后,原系统资源占用资源的缓冲时间 秒为单位  建议设置60
CS开发和运维技术总结
老火靓汤的技术专栏
08-11 777
1.   虚拟机root密码的保存路径,在对应的虚拟路由器的文件内,文件的路径和命名规则如下: /var/cache/cloud/passwords-ip 其中ip是指的VR的IP。   2. api调用规则 2.1 登录(拿到session) curl -v http://10.25.25.128:8080/client/api-d "command=login&username=a
CloudStack无法添加模板和iso
weixin_33670786的博客
03-17 452
做了N久的CloudStack二次开发,最近越来越多的人开始使用CloudStack。通常会遇到添加模板和iso不成功的问题。表现为注册了template/iso之后,"已就绪" "状态" "大小" 等选项都为空,或者提示no route to host等现象CloudStack是通过SSVM进行template/iso上传和下载,所以基本可以判定为SSVM网络有问题这样就可以做以下检查:1、内建...
搭建CloudStack4.12.0。ctdb测试实现nfs高可用
dandanfengyun的博客
06-04 944
测试cloudstack搭建,并不一定适用。 供个人 复习使用 首先准备三台 机器,由于测试使用 就用VMware Workstation是创建的虚拟机。 cloudsatck版本安装4.12.0 系统模板使用4.11.2 模板。gluster 版本 6.0 ceph 版本 limous 准备 管理节点2G内存 计算节点4G ceph-admin 1G 管理节点和计算节点记得勾选处理器的虚拟化Intel VT-x、EP 或 AMD-V/RV(V) 电脑内存少,没办法。。。就分配的少一点。 主
CloudStack启用Swift存储的方法
weixin_34187862的博客
01-08 160
 注意:要在添加区域和辅助存储之前启用SWIFT. 登入管理控制台后找到全局设置在搜索中搜索:swift 然后编辑将false值改成true 然后重启管理服务器的服务 再添加区域的昨天出现:启用SWIFT按钮: 提供SWIFT的账号:  ...
Nginx 平滑升级指南
最新发布
XMYX-0
09-04 797
Nginx 的平滑升级是一种无中断的升级方式,能够在不影响现有连接的情况下,将 Nginx 从旧版本升级到新版本。
CloudStack实战:配置与管理简单云环境
"本文主要探讨了如何使用CloudStack配置和管理一个简单的云计算环境,同时也介绍了CloudStack在IaaS市场中的角色及其与OpenStack的竞争关系。CloudStack,原为cloud.com的产品,现已成为Apache开源项目,提供灵活的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值