Hesaplama dağıtımlarını sıkılaştırmak¶
Herhangi bir OpenStack dağıtımıyla ilgili en büyük güvenlik endişelerinden biri, hassas dosyaların etrafında, örneğin nova.conf dosyası gibi güvenlik ve denetimlerdir. Normalde /etc dizininde yer alan bu yapılandırma dosyası, yapılandırma ayrıntıları ve hizmet parolaları gibi birçok hassas seçeneği içerir. Bu gibi tüm hassas dosyalara katı dosya düzeyi izinleri verilmeli ve iNotify veya Samhain gibi dosya bütünlüğü izleme (FIM) araçları aracılığıyla değişiklikler izlenmelidir. Bu yardımcı programlar, bilinen bir iyi durumda hedef dosyanın karmasını alıp periyodik olarak dosyanın yeni bir karmasını alıp bilinen iyi karma ile karşılaştırır. Beklenmedik şekilde değiştirildiğinde bir uyarı oluşturulabilir.
Bir dosyanın izinleri, dosyanın bulunduğu dizine girip şu komut çalıştırılarak incelenebilir ls -lh komutu. Bu, dosyaya erişimi olan izinleri, sahibi ve grubu ve dosyanın son değiştirilme zamanı ve ne zaman oluşturulduğu gibi diğer bilgileri gösterir.
/var/lib/nova dizini, belirli bir hesaplama sunucusundaki örneklerle ilgili ayrıntıları tutmak için kullanılır. Bu dizin, kesinlikle zorla uygulanan dosya izinleriyle de hassas olarak düşünülmelidir. Ayrıca, bu ana makine ile ilişkili örnekler için bilgi ve meta veriler içerdiği için düzenli olarak yedeklenmesi gerekir.
Dağıtımınız tam sanal makine yedeklemelerini gerektirmezse, bu düğümde çalışan her bir vm’nin birleşik alanıyla aynı olacak şekilde /var/lib/nova/instances dizini hariç tutulmasını öneririz. Dağıtımınızda tam VM yedekleme gerekiyorsa, bu dizinin başarıyla yedeklendiğinden emin olmanız gerekir.
İzleme, BT altyapısı için önemli bir bileşendir, anlamlı uyarıların oluşturulabilmesi için İşleme günlük dosyalarını izlemeyi ve analiz etmeyi öneriyoruz.
OpenStack zafiyet yönetim takımı¶
We recommend keeping up to date on security issues and advisories as they are published. The OpenStack Security Portal is the central portal where advisories, notices, meetings, and processes can be coordinated. Additionally, the OpenStack Vulnerability Management Team (VMT) portal coordinates remediation within the OpenStack project, as well as the process of investigating reported bugs which are responsibly disclosed (privately) to the VMT, by marking the bug as ‘This bug is a security vulnerability’. Further detail is outlined in the VMT process page and results in an OpenStack Security Advisory (OSSA). This OSSA outlines the issue and the fix, as well as linking to both the original bug, and the location where the where the patch is hosted.
OpenStack güvenlik notları¶
Reported security bugs that are found to be the result of a misconfiguration, or are not strictly part of OpenStack are drafted into OpenStack Security Notes (OSSNs). These include configuration issues such as ensuring Identity provider mappings as well as non-OpenStack but critical issues such as the Bashbug/Ghost or Venom vulnerabilities that affect the platform OpenStack utilizes. The current set of OSSNs is in the Security Note wiki.
OpenStack-dev eposta listesi¶
All bugs, OSSAs and OSSNs are publicly disseminated through the openstack-discuss mailinglist with the [security] topic in the subject line. We recommend subscribing to this list as well as mail filtering rules that ensure OSSNs, OSSAs, and other important advisories are not missed. The openstack-discuss mailinglist is managed through OpenStack Development Mailing List. The openstack-discuss uses tags as defined in the Project Team Guide.
Hipervisor eposta listesi¶
OpenStack’i uygularken ana kararlardan hangisi hangi hipervizör’un kullanacağıdır. Seçtiğiniz hipervizör(ler) ile ilgili tavsiyeleri öğrenmenizi öneririz. Birkaç genel hipervizör güvenlik listesi aşağıda belirtilmiştir:
- Xen:
- VMWare:
- Diğerleri (KVM ve dahası):
