加固计算部署¶
任何 OpenStack 部署的主要安全问题之一是敏感文件(例如 nova.conf 文件)的安全性和控制。该配置文件通常位于 /etc 目录中,包含许多敏感选项,包括配置细节和服务密码。所有此类敏感文件都应给予严格的文件级别权限,并通过文件完整性监控 (FIM) 工具(例如 iNotify 或 Samhain)监控其更改。这些工具将获取目标文件在已知良好状态下的哈希值,然后定期获取文件的新的哈希值并将其与已知良好哈希值进行比较。如果发现文件被意外修改,则可以创建一个警报。
可以通过进入文件所在的目录并运行 ls -lh 命令来检查文件的权限。这将显示对文件具有访问权限的权限、所有者和组,以及其他信息,例如文件上次修改时间和创建时间。
/var/lib/nova 目录用于保存给定计算主机上实例的详细信息。此目录也应被视为敏感目录,并强制执行严格的文件权限。此外,应定期备份它,因为它包含与该主机关联的实例的信息和元数据。
如果您的部署不需要完整的虚拟机备份,我们建议排除 /var/lib/nova/instances 目录,因为它的大小将与该节点上运行的每个虚拟机的空间总和一样大。如果您的部署需要完整的虚拟机备份,则需要确保成功备份此目录。
监控是 IT 基础设施的关键组成部分,我们建议监控和分析 计算日志文件,以便创建有意义的警报。
OpenStack 漏洞管理团队¶
我们建议及时了解已发布的安全性问题和建议。 OpenStack 安全门户是集中门户,可以在这里协调建议、通知、会议和流程。此外,OpenStack 漏洞管理团队 (VMT) 门户协调 OpenStack 项目中的修复,以及调查报告的漏洞的过程,这些漏洞被负责任地披露(私下)给 VMT,方法是将漏洞标记为“此漏洞是安全漏洞”。 更多详细信息在 VMT 流程页面中概述,并最终生成 OpenStack 安全公告 (OSSA)。 此 OSSA 概述了问题和修复方法,以及链接到原始漏洞和托管补丁的位置。
OpenStack 安全说明¶
被发现是由于配置错误或不严格属于 OpenStack 的报告的安全漏洞,将被起草为 OpenStack 安全说明 (OSSN)。 这些包括配置问题,例如确保身份提供者映射,以及非 OpenStack 但关键问题,例如 Bashbug/Ghost 或 Venom 漏洞,这些漏洞会影响 OpenStack 使用的平台。 当前的 OSSN 集合位于 安全说明 wiki 中。
OpenStack-dev 邮件列表¶
所有漏洞、OSSA 和 OSSN 都通过 openstack-discuss 邮件列表公开传播,主题行中带有 [security] 主题。 我们建议订阅此列表以及邮件过滤规则,以确保不会错过 OSSN、OSSA 和其他重要建议。 openstack-discuss 邮件列表通过 OpenStack 开发邮件列表进行管理。 openstack-discuss 使用在 项目团队指南中定义的标签。
Hypervisor 邮件列表¶
在实施 OpenStack 时,一个核心决策是选择使用哪个 hypervisor。 我们建议了解与您选择的 hypervisor 相关的建议。 以下是一些常见的 hypervisor 安全列表
