تا %60 تخفیف خرید برای 5 نفر با صدور مدرک فقط تا
00 00 00

معرفی سرویس Nova در OpenStack قسمت 3 مفهوم rootwrap

حامد خاکباز
حامد خاکباز
0 پسند
21 بازدید
0 نظر
12 روز قبل

مفهوم rootwrap در OpenStack چیست؟ و rootwrap در زیرساخت ابری چه کاری انجام می دهد؟ در این مقاله کوتاه به بررسی Permission های سرویس های OpenStack برای اجرا و همچنین مکانیسم های امنیتی لحاظ شده در آنها خواهیم پرداخت. برای درک منطق کاری rootwrap نیاز به آشنایی قبلی با محتوای فایل sudoers  در سیستم عامل لینوکس هست، که تحت مالکیت کاربر root این فایل تعیین می کند چه کاربری، چه دستوری را ، با چه Privilege  ای ، کجا و با چه نوع کنترلی می تواند اجرا کند. با این تفاوت که OpenStack به جای استفاده از دستورات مکمل لینوکس و یا ویرایش خود فایل sudoers ، از فایل و مجموعه تنظیمات rootwrap  (که باید تحت مالکیت کاربر root باشد) به صورت زنجیره ای در هنگام استارت کردن Compute Service ها استفاده می نماید.

  • مفهوم Rootwrap در OpenStack  Nova

 مجموعه سرویس Nova برای انجام برخی کارها نیاز به سطح دسترسی root سیستم عامل دارد، در حالی که همانند سایر سرویس ها به علت لحاظ برخی تمهیدات امنیتی مستقیما سطح کاربری root به آن داده نشده است. عبارت rootwrap به یک سازوکار امنیتی در OpenStack اطلاق می شود که باعث می گردد؛ دستور سرویسی از OpenStack که با مشکل سطح دسترسی غیر از root مواجهه است، در مواقعی با سطح دسترسی کامل root اجرا شود.

به عبارت دیگر rootwrap از یک مجموعه فایل و تنظیمات که به صورت زنجیره ای کار می کنند و تحت مالکیت کاربر root هستند استفاده می کند تا باعث شود که ؛  راهبر Nova بتواند دستورات مشخصی از یک سرویس را (بدون مشکل permission ای ) با privilege مربوط به کاربری root اجرا کند. در این حالت حتی Password مربوط به نام کاربری root هم پرسیده نمی شود. اما این مکانیسم تنها محدود به command های خاصی است که پیش تر تعریف شده اند و پیش شرط آن هم این است که فایل rootwrap  (و سایر فایل هایی که در آن ها filter definition انجام شده) تحت مالکیت کاربر root باشد.

 فواید روال کاری rootwrap و مکانیسم آن زمانی معنا پیدا می کند که به عنوان مثال یک هکر بخواهد از سطح دسترسی عملیاتی  سرویسی که با کاربری root در حال اجرا می باشد برای حملات خود استفاده کند، وجود مکانیسم rootwrap دایره تحت نفوذ هکر را ایزوله کرده و میزان تخریب احتمالی را کاهش می دهد. چراکه rootwrap با هدف ارائه یک فیلترینگ با پارامترهای زیاد اجازه این محدودیت ها را برای تهدیدات احتمالی فراهم نموده است.شایان ذکر است که محل ذخیره فایل کانفیگ rootwrap در فایل sudoers و همچنین فایل اصلی تنظیمات Nova ، آدرس دهی شده است و از لحاظ دیدگاه سیستم عاملی اصطلاحا درون یک "trusted security path" جای داده شده است و تنها توسط کاربر root قابل ویرایش است.

نظر شما
برای ارسال نظر باید وارد شوید.
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...