OpenStack Train版本弱密码整改

最新推荐文章于 2023-04-11 16:03:40 发布
最新推荐文章于 2023-04-11 16:03:40 发布
阅读量656 收藏
点赞数
分类专栏: OpenStack 安全漏洞 Centos 文章标签: OpenStack 弱密码 memcached rsync vnc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43905458/article/details/106648387
版权
OpenStack 同时被 3 个专栏收录
30 篇文章 6 订阅
订阅专栏
Centos
11 篇文章 0 订阅
订阅专栏
安全漏洞
2 篇文章 1 订阅
订阅专栏

1、环境介绍

CentOS版本为7.8

# cat /etc/centos-release
CentOS Linux release 7.8.2003 (Core)

OpenStack 版本为Train

# rpm -qi openstack-nova-api
Name        : openstack-nova-api
Epoch       : 1
Version     : 20.2.0
Release     : 1.el7
Architecture: noarch
Install Date: Mon 08 Jun 2020 07:10:30 AM EDT
Group       : Unspecified
Size        : 5483
License     : ASL 2.0
Signature   : RSA/SHA1, Tue 28 Apr 2020 12:27:42 AM EDT, Key ID f9b9fee7764429e6
Source RPM  : openstack-nova-20.2.0-1.el7.src.rpm
Build Date  : Thu 23 Apr 2020 09:46:19 AM EDT
Build Host  : c1bk.rdu2.centos.org
Relocations : (not relocatable)
Packager    : CBS <cbs@centos.org>
Vendor      : CentOS
URL         : http://openstack.org/projects/compute/
Summary     : OpenStack Nova API services
Description :

2、弱密码

2.1、memcache弱密码

memcached没有密码,11211端口,默认守护0.0.0.0,这样会对外部网络暴露无密码访问

# netstat -npl |grep 11211
tcp        0      0 0.0.0.0:11211         0.0.0.0:*               LISTEN      8825/memcached
udp        0      0 0.0.0.0:11211         0.0.0.0:*                           8825/memcached

解决方法:修改配置,让memcached守护localhost
旧的配置值

# cat /etc/sysconfig/memcached
PORT="11211"
USER="memcached"
MAXCONN="8192"
CACHESIZE="12873"
OPTIONS="-l 0.0.0.0 -U 11211 -t 40 >> /var/log/memcached.log 2>&1"

修改为

# cat /etc/sysconfig/memcached
PORT="11211"
USER="memcached"
MAXCONN="8192"
CACHESIZE="12873"
OPTIONS="-l 127.0.0.1 -U 11211 -t 40 >> /var/log/memcached.log 2>&1"

重启memcachd进程

# systemctl restart memcached

# netstat -npl |grep 11211
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      8825/memcached
udp        0      0 127.0.0.1:11211         0.0.0.0:*                           8825/memcached

使用memcached的应用需要适配,不是127.0.0.1的要改为127.0.0.1

# grep -r 11211 /etc
/etc/services:memcache        11211/tcp               # Memory cache service
/etc/services:memcache        11211/udp               # Memory cache service
/etc/sysconfig/memcached:PORT="11211"
/etc/sysconfig/memcached:OPTIONS="-l 127.0.0.1 -U 11211 -t 40 >> /var/log/memcached.log 2>&1"
/etc/nova/nova.conf:#memcache_servers=localhost:11211
/etc/keystone/keystone.conf:#memcache_servers = localhost:11211
/etc/glance/metadefs/software-databases.json:                    "default": 11211
/etc/neutron/metadata_agent.ini:#memcache_servers = localhost:11211
/etc/openstack-dashboard/local_settings:#        'LOCATION': '127.0.0.1:11211',
/etc/openstack-dashboard/local_settings:        'LOCATION': '127.0.0.1:11211',
/etc/swift/object-expirer.conf:memcache_servers = 127.0.0.1:11211
/etc/swift/proxy-server.conf:memcache_servers = 127.0.0.1:11211
/etc/magnum/magnum.conf:memcached_servers=127.0.0.1:11211

2.2、rsync弱密码

rsync端口为873,守护外部地址,或者0.0.0.0

# netstat -npl |grep 873
tcp        0      0 0.0.0.0:873           0.0.0.0:*               LISTEN      10525/xinetd

修改配置

# cat /etc/xinetd.d/rsync
# This file is being maintained by Puppet.
# DO NOT EDIT

service rsync
{
        port            = 873
        disable         = no
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        group           = root
        groups          = yes
        server          = /usr/bin/rsync
        bind            = 0.0.0.0
        server_args     = --daemon --config /etc/rsyncd.conf
        instances       = UNLIMITED
}

改为

# cat /etc/xinetd.d/rsync
# This file is being maintained by Puppet.
# DO NOT EDIT

service rsync
{
        port            = 873
        disable         = no
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        group           = root
        groups          = yes
        server          = /usr/bin/rsync
        bind            = 127.0.0.1
        server_args     = --daemon --config /etc/rsyncd.conf
        instances       = UNLIMITED
}

重启服务

# systemctl restart xinetd

# netstat -npl |grep 873
tcp        0      0 127.0.0.1:873           0.0.0.0:*               LISTEN      10525/xinetd

2.3、虚拟机vnc无密码

目前可以修改代码,写死密码
增加这一行

dev.set("passwd", "123ASD@456")

# vi /usr/lib/python2.7/site-packages/nova/virt/libvirt/config.py
class LibvirtConfigGuestGraphics(LibvirtConfigGuestDevice):

    def __init__(self, **kwargs):
        super(LibvirtConfigGuestGraphics, self).__init__(root_name="graphics",
                                                         **kwargs)

        self.type = "vnc"
        self.autoport = True
        self.keymap = None
        self.listen = None

    def format_dom(self):
        dev = super(LibvirtConfigGuestGraphics, self).format_dom()

        dev.set("type", self.type)
        if self.autoport:
            dev.set("autoport", "yes")
        else:
            dev.set("autoport", "no")
        if self.keymap:
            dev.set("keymap", self.keymap)
        if self.listen:
            dev.set("listen", self.listen)
        dev.set("passwd", "123ASD@456")

        return dev

重启服务

# systemctl restart openstack-nova-compute

部署好的虚机xml

# cat /etc/libvirt/qemu/instance-00000001.xml
    <graphics type='vnc' port='-1' autoport='yes' listen='0.0.0.0' passwd='123ASD@456'>
      <listen type='address' address='0.0.0.0'/>
    </graphics>
yanwei2020
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenStack中加固VNC访问安全
北观止的博客
06-23 1412
OpenStack中加固VNC访问安全 1.问题发现 很多同学使用noVNC之后都没有退出终端的习惯,往往都是用完了就直接关闭网页窗口。说这样隐患很大,如果内网里面有一些script kiddie随时都能将我们线上的虚拟机VNC端口扫出来。 下面使用nmap测试一下开发环境中的计算节点的端口开放情况。 ubuntu@ubuntu:~ $ nmap 192.168.23.12 Starting Nmap 7.70 ( https://nmap.org ) at 2019-06-13 19:22 CST Nma
centos 修改密码_openstack Train版部署——基于centos系统(四)
weixin_39603397的博客
11-27 156
一、镜像服务安装glance(控制节点安装)①、glance数据库创建登陆数据库 mysql -uroot -p数据库授权GRANT ALL PRIVILEGES ON glance.* TO 'glance'@'localhost' IDENTIFIED BY 'GLANCE_DBPASS';GRANT ALL PRIVILEGES ON glance.* TO 'glance'@'%' IDE...
HuaWei-面试题Traing-02
weixin_42265727的博客
11-13 295
xxxx xxxxx XXXXX XXXXX XXXXX XXX XXXXX
Rsync漏洞 && Redis漏洞
CN_SHzhaoyujie的博客
12-04 1321
Rsync漏洞 && Redis漏洞 Rsync配置不当 Rsync(remote synchronize)是一款实现远程同步功能的软件。它在同步文件时可以保持原来文件的权限,时间,软硬链接等附加信息。rsync默认同步是不加密,可使用ssh隧道方式进行加密同步。端口默认873,和其他软件搭配使用 rsync + crontab rsync + sersync 使用ssh隧道方式进...
rsync
m0_63963588的博客
04-11 289
rsync是类unix下的一款数据镜像备份工具——remote sync。备份服务器可以镜像保存整个目录树和文件系统;可以很容易做到保持原来文件的权限、时间、软硬链接等;无须特殊权限即可安装;优化的流程,文件传输效率高;可以使用 rcp、ssh 等方式来传输文件,当然也可以通过直接的 socket 连接;支持匿名传输;rsync的主要特点就是增量传输,只对变更的部分进行传送。RSYNC原理rsycn原理。
openstack train 版本安装记录文件.txt
05-06
openstack train 版本安装记录文件.txt 从0安装的一份记录,参考官网安装,也记录了一些官网文档的坑!
openstack Train 安装手册.rar
04-13
OpenStack TrainOpenStack的一个重要版本,发布于2019年10月。这个版本引入了许多新功能和改进,旨在提升云平台的稳定性和易用性。本安装手册将帮助用户了解如何在自己的环境中部署和配置OpenStack Train。 1. **...
OpenStack-train版安装手册
11-20
OpenStack-train版安装手册,包含环境介绍、环境安装、安装Spice控制台、实例热迁移的libvirt、实例调整实例大小、负载均衡即服、务网络QoS等
Openstack Train 版部署
11-08
Openstack Train 版部署,集群共三台机器,分别为:控制节点,计算节点,存储节点
OpenStack-train版操作手册
最新发布
11-20
OpenStack-train版操作手册,门户管理、角色管理、角色资源、资源概览、租户隔离、VPC与虚拟网络创建、网络创建、创建虚拟路由器、多网卡、DHCP分配实例IP、创建云主机、热迁移云主机、云主机备份、控制台灯
openstack中 novnc配置相关选项 VNC配置
韦远科的专栏
06-07 4652
--vnc_enabled=true --novnc_enabled=true --vncserver_listen=127.0.0.1 generally set to the hosts management ip, rather than the public ip or 0.0.0.0, for security reasons. read
局域网中OpenstackVNC安全配置
ZcloudEdu
08-25 948
OpenStack noVNC安全配置
linux rsync数据备份怎么免密码,rsync实现免密码操作的一种实现方式
weixin_34177635的博客
04-29 688
Posted on 2016-06-30 09:23 shihuc 阅读(10030) 评论(0) 编辑 收藏rsync是远程文件同步协议,在linux系统下,操作服务器之间的文件同步,是非常方便高效的。但是,简单的rsync操作,往往需要和用户交互,需要用户输入密码,这个对于结合应用系统使用,比如Java调用linux指令实现同步的话,就不是很方便。当然,也许读者会说,这个免密码操作还不简单,r...
OpenStack Mitaka 包安装日志
openeis的专栏
10-03 1444
[root@controller yum.repos.d]# yum install -y chrony Loaded plugins: fastestmirror, langpacks Loading mirror speeds from cached hostfile Package chrony-2.1.1-1.el7.centos.x86_64 already installed a
openstack 关于实例密码问题
杨仕虎的博客
04-30 1331
实例的密码修改方式 创建MV时修改密码 运行中的MV修改密码 创建MV时修改密码 基于cloud-init实现配置的传递给MV configguration:可以实现初始化密码和安装软件等等,MV端通过cloud-init传入 cloud-init有固定的语法的,但是要可以使用shell实现 #cloud-config chpasswd: list: | root:123456 ubuntu:123456 expire: false ssh_pwauth: t
openstack vnc分析
hao119119的专栏
06-29 6960
VNC (Virtual Network Computer)是虚拟网络计算机的缩写。VNC 是一款优秀的远程控制工具软件,由著名的 AT&T 的欧洲研究实验室开发的。VNC 是在基于 UNIX 和 Linux 操作系统的免费的开源软件,远程控制能力强大,高效实用,其性能可以和Windows 和 MAC 中的任何远程控制软件媲美。 在 Linux 中,VNC 包括以下四个命令:vncse
VNC 客户端如何查看openstack 创建的虚拟机
jackny9的专栏
03-19 6984
在云计算的环境中,实际上更多的时候是使用VNC 工具去查看云系统中的VM。以下记录如何查看的方法:  控制节点查看虚拟机的ID(libvird 的,非instanc_id) 找到需要连接的虚拟机的ID号,查看其中暴露的端口: 然后在VNC 查看工具中输入相关连接: 点击Connect 后就可以连接上openstack 创建的虚拟机。 如果觉得麻烦,也可以直接通
Rsync匿名访问漏洞
weixin_30708329的博客
04-25 726
前言 前两天总结了互联网或者说IT公司内网常见的漏洞,然后决定针对还没学习过不了解的漏洞进行学习了解,所以准备一一针对来研习,今天是第一篇,立一个Flag,争取今年搞定,为啥说的这么艰难,因为平时工作忙,不一定每周都有时间研究,说一下,常见的WEB类漏洞,口令漏洞就不在赘述了,不算在此次学习之列 Rsync简介 什么是Rsync Rsync(remote synchronize)是一...
OpenStack 密码注入
weixin_34236869的博客
10-18 440
现状实例可以创建,可以使用vnc,可以ssh,但是就是密码要使用默认tima123,要修改密码必须进入虚拟机。实际场景中如果用户将密码修改后忘记,需要重置密码则我们作为管理员也没有办法。这在实际需求中是不可以接受的。 目标在创建的时候有密码修改功能,并且实例创建后能重置密码。 办法1.在openstack集群的计算节点的/etc/nova/nova.conf配置文件中,有配置: #li...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值