5.3.3. 强化计算部署

任何 OpenStack 部署的主要安全问题之一就是围绕敏感文件的安全性和控制，如 /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf 文件。此配置文件包含许多敏感选项，包括配置详情和服务密码。所有此类敏感文件都应被授予严格的文件权限，并通过文件完整性监控(FIM)工具（如 AIDE）进行监控。这些实用程序将取目标文件处于已知良好状态的哈希，然后定期获取文件的新哈希值，并将其与已知良好的哈希进行比较。如果发现某一警报被意外修改，则可以创建警报。

可以通过将文件复制到文件中包含的目录并运行 ls -lh 命令来检查文件的权限。这将显示有权访问文件的权限、所有者和组，以及文件上次修改时间以及文件创建的时间等其他信息。

/var/lib/nova 目录保存关于给定 Compute 节点上的实例的信息。该目录应被视为敏感，且严格强制实施文件权限。另外，它应该定期备份，因为它包含与该主机关联的实例的信息和元数据。

如果您的部署不需要完整的虚拟机备份，请考虑排除 /var/lib/nova/instances 目录，因为它与该节点上运行的每个实例的合并空间相同。如果您的部署需要完整的虚拟机备份，则需要确保成功备份这个目录。