6.5. 强化计算部署

任何 OpenStack 部署的主要安全问题之一是围绕敏感文件的安全性和控制，如 /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf 文件。此配置文件包含许多敏感选项，包括配置详情和服务密码。所有这些敏感文件都应赋予严格的文件级别权限，并通过文件完整性监控(FIM)工具（如 AIDE）进行监控。这些工具将采用已知良好状态的目标文件的哈希值，然后定期使用文件的哈希并将其与已知良好的哈希进行比较。如果发现警报已意外修改，则可以创建警报。

可以通过移动到文件中包含的目录并运行 ls -lh 命令来检查文件的权限。这将显示有权访问该文件的权限、所有者和组，以及其他信息，如上次修改文件以及创建该文件的时间。

/var/lib/nova 目录包含有关给定 Compute 节点上的实例的信息。此目录应被视为敏感，并严格强制执行文件权限。此外，它应定期备份，因为它包含与该主机关联的实例的信息和元数据。

如果您的部署不需要全虚拟机备份，请考虑排除 /var/lib/nova/instances 目录，因为它与该节点上运行的每个实例的组合空间相同。如果您的部署需要完整的虚拟机备份，则需要确保成功备份该目录。