20.5. セキュアな root ユーザーアクセスの使用
オーバークラウドのイメージでは、root
ユーザーのセキュリティー強化機能が自動的に含まれます。たとえば、デプロイされる各オーバークラウドノードでは、root
ユーザーへの 直接の SSH アクセスを自動的に無効化されます。以下の方法を使用すると、オーバークラウドで root
ユーザーにアクセスすることが引き続き可能となります。
-
アンダークラウドノードに
stack
ユーザーとしてログインします。 -
各オーバークラウドノードには
heat-admin
ユーザーアカウントがあります。このユーザーアカウントにはアンダークラウドのパブリック SSH キーが含まれており、アンダークラウドからオーバークラウドノードへのパスワード無しの SSH アクセスが可能です。アンダークラウドノードでheat-admin
ユーザーとして SSH を介して選択したオーバークラウドノードにログインします。 -
sudo -i
でroot
ユーザーに切り替えます。
root ユーザーセキュリティーの軽減
状況によっては、root
ユーザーに直接 SSH アクセスする必要がある可能性があります。このような場合には、各オーバークラウドノードで root
ユーザーの SSH 制限を軽減することが可能です。
この方法は、デバッグのみを目的としています。したがって、実稼働環境での使用は推奨されません。
この方法では、初回ブートの設定フック (「初回起動: 初回起動設定のカスタマイズ」を参照) を使用します。環境ファイルに以下の内容を記載してください。
resource_registry: OS::TripleO::NodeUserData: /usr/share/openstack-tripleo-heat-templates/firstboot/userdata_root_password.yaml parameter_defaults: NodeRootPassword: "p@55w0rd!"
以下の点に注意してください。
-
OS::TripleO::NodeUserData
リソースは、初回ブートのcloud-init
段階にroot
ユーザーを設定するテンプレートを参照します。 -
NodeRootPassword
パラメーターはroot
ユーザーのパスワードを設定します。このパラメーターの値は、任意の値に変更してください。環境ファイルには、パスワードはプレーンテキスト形式の文字列として記載されるので、セキュリティーリスクと見なされる点に注意してください。
オーバークラウドの作成時に、openstack overcloud deploy
コマンドにこの環境ファイルを追加します。