6.5. 컴퓨팅 배포 강화

OpenStack 배포와 관련된 주요 보안 문제 중 하나는 /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf 파일과 같은 중요한 파일에 대한 보안 및 제어입니다. 이 구성 파일에는 구성 세부 정보 및 서비스 암호를 포함하여 중요한 많은 옵션이 포함되어 있습니다. 이러한 중요한 파일에는 엄격한 파일 수준 권한이 부여되어야 하며 AIDE와 같은 파일 무결성 모니터링(FIM) 도구를 통해 변경 사항이 있는지 모니터링해야 합니다. 이러한 유틸리티는 알려진 양호한 상태의 대상 파일을 해시한 다음 주기적으로 파일의 새 해시를 사용하여 알려진 양호한 해시와 비교합니다. 가 예기치 않게 수정된 것으로 확인된 경우 경고를 생성할 수 있습니다.

파일이 포함된 디렉토리로 이동하여 ls -lh 명령을 실행하여 파일의 권한을 검사할 수 있습니다. 그러면 파일에 대한 액세스 권한이 있는 권한, 소유자 및 그룹과 파일이 수정된 마지막 시간 및 생성된 시기와 같은 기타 정보가 표시됩니다.

/var/lib/nova 디렉터리에는 지정된 컴퓨팅 노드의 인스턴스에 대한 정보가 들어 있습니다. 이 디렉터리는 엄격하게 적용되는 파일 권한이 있는 중요한 것으로 간주되어야 합니다. 또한 해당 호스트와 연결된 인스턴스의 정보 및 메타데이터가 포함되어 있으므로 정기적으로 백업해야 합니다.

배포에 전체 가상 머신 백업이 필요하지 않은 경우 해당 노드에서 실행되는 각 인스턴스의 결합된 공간만큼 /var/lib/nova/instances 디렉터리를 제외하는 것이 좋습니다. 배포에 전체 VM 백업이 필요한 경우 이 디렉터리가 성공적으로 백업되었는지 확인해야 합니다.