Openstack rootwrap
来源:互联网 发布:酷狗软件 编辑:程序博客网 时间:2024/05/24 00:54
目的
root warpper的目的是为了允许一个服务指定无特权的用户(如nova等)在最安全的方式下以root身份来运行一些指令。历史上,nova曾使用一个特定sudoers文件,这个文件中罗列了所有nova用户允许运行的命令,同时使用sudo来以root运行这些命令。而这很难去维护。sudoers文件采用特殊的封装方式。它不允许使用复杂的过滤参数。rootwrap就是用来解决这个问题。
工作方式
nova调用sudo nova-root-wrap /etc/nova/rootwrap.conf来"make me a sandwich"来取代只是调用sudo来"make me a sandwich"。一个通用sudoers条目来让nova用户以root身份来运行nova-rootwrap。nova-rootwrap查找配置文件中的过滤定义目录冰加载命令过滤器。然后它检查nova请求的命令是否匹配到的一个过滤器,在这种情况下它以root执行一条命令。如果没有匹配到过滤器,则访问被拒绝。
安全模型
root用户完全控制了升级路径。sudoers条目(root所有)允许nova以root身份来运行一个指定的rootwrap可执行文件,并且只有指定特定的配置文件。nova-rootwrap导入Python模块。配置文件指向包含过滤器定义文件的目录,这些文件都是root所有。这样保证了nova用户对这些文件没有控制权。
0 0
- Openstack rootwrap
- Openstack rootwrap
- Neutron-rootwrap (by quqi99)
- rootwrap模块解析以及功能扩展
- OpenStack
- OpenStack
- OpenStack
- OpenStack
- OpenStack
- openstack
- OpenStack
- openstack
- OpenStack
- Openstack
- openstack
- openstack
- openstack
- openstack
- axis 开发webservice
- PHP里$_SERVER['HTTP_HOST']和$_SERVER['PHP_SELF']区别
- C float类型 范围 详解
- TQ2440 在Keil V5 MDK下创建工程 并 使用Jlink 在RAM调试 方法
- ORACLE11g 区的管理与分配
- Openstack rootwrap
- 数据库规范
- 高通8x74分支编译问题集锦
- C 语言 int(32位) 内存中的表示
- dell 机虚拟机安装苹果操作系统出现问题
- CPU对内存管理四
- Git简介
- 朝鮮歷史 題目
- iOS传值之block传值(一)