존재하다/etc/sudoers.d, "nova-common"이라는 파일을 찾았습니다.
-r--r----- 1 root root 77 Mar 11 2015 nova-common
문서 내용:
nova ALL = (root) NOPASSWD: /usr/bin/nova-rootwrap /etc/nova/rootwrap.conf *
그래서 패키지를 찾으러 갔어요. 산출dpkg-query-l 노바-공통
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==============-============-============-=================================
ii nova-common 2014.1.3-11 all OpenStack Compute - common files
그래서 데비안에서 패키지의 파일 목록을 찾았습니다.
...
/etc/sudoers.d/nova-common
...
따라서 보안 관점에서 내 질문은 다음과 같습니다. 이러한 파일이 존재하는 것이 정상/안전합니까?/etc/sudoers.d?
답변1
OpenStack은 nova가상 서버 구성, 즉 일반적으로 루트 수준 액세스가 필요한 대량 구성을 처리하는 OpenStack의 일부입니다. 자동화하려면 자동화하려는 작업을 수행하는 데 필요한 권한을 자동화에 부여하는 메커니즘이 필요합니다.
당신은 읽고 싶을 수도 있습니다루트랩에 대한 문서sudo: 실제로는 명령뿐만 아니라 해당 매개변수의 복잡한 필터링을 허용하는 확장 메커니즘입니다 . 따라서 이론적으로는 단독으로 사용하는 것보다 더 세밀하게 사용할 수 있습니다 sudo.
이는 관리해야 하는 시스템에 setuid 권한이 있는 불투명 바이너리를 주입하는 것보다 자동화에 선택적 권한을 추가하는 보다 감사하기 쉬운 방법이어야 합니다.