12.3. 使用可信镜像

在云环境中，用户使用预安装的镜像或他们自己上传的镜像。在这两种情况下，用户应该能够确保其使用的镜像没有被篡改。验证镜像是安全的基础。需要来自镜像源到使用其目标的信任链。这可以通过签名从可信源获取的镜像，并在使用前验证签名来完成。下面将讨论获取和创建经验证镜像的各种方法，并介绍了镜像签名验证功能的描述。

12.3.1. 创建镜像
复制链接

OpenStack 文档提供如何创建和上传镜像上传到镜像服务的指导。另外，假设您有一个安装和增强客户机操作系统的过程。以下项目将提供将您的镜像传送到 OpenStack 的其他指导。获取镜像的各种选项。每种步骤均有可帮助验证镜像成熟的特定步骤。

选项 1： 包含来自可信源的引导介质.例如，您可以从官方红帽源下载镜像，然后执行额外的 checksum 验证。
选项 2： 使用 OpenStack 虚拟机镜像指南。在这种情况下，您需要遵循您的机构操作系统强化指南。
选项 3： 使用自动镜像构建器。以下示例使用 Oz 镜像构建器：OpenStack 社区最近创建了名为 disk-image-builder 的较新的工具，它还没有进行安全评估。

在这个示例中，RHEL 6 CCE-26976-1 帮助 Oz 在 Oz 内实施 NIST 800-53 第 AC-19 (d)。

<template>
<name>centos64</name>
<os>
  <name>RHEL-6</name>
  <version>4</version>
  <arch>x86_64</arch>
  <install type='iso'>
  <iso>http://trusted_local_iso_mirror/isos/x86_64/RHEL-6.4-x86_64-bin-DVD1.iso</iso>
  </install>
  <rootpw>CHANGE THIS TO YOUR ROOT PASSWORD</rootpw>
</os>
<description>RHEL 6.4 x86_64</description>
<repositories>
  <repository name='epel-6'>
  <url>http://download.fedoraproject.org/pub/epel/6/$basearch</url>
  <signed>no</signed>
  </repository>
</repositories>
<packages>
  <package name='epel-release'/>
  <package name='cloud-utils'/>
  <package name='cloud-init'/>
</packages>
<commands>
  <command name='update'>
  yum update
  yum clean all
  sed -i '/^HWADDR/d' /etc/sysconfig/network-scripts/ifcfg-eth0
  echo -n > /etc/udev/rules.d/70-persistent-net.rules
  echo -n > /lib/udev/rules.d/75-persistent-net-generator.rules
  chkconfig --level 0123456 autofs off
  service autofs stop
  </command>
</commands>
</template>

<template>
<name>centos64</name>
<os>
  <name>RHEL-6</name>
  <version>4</version>
  <arch>x86_64</arch>
  <install type='iso'>
  <iso>http://trusted_local_iso_mirror/isos/x86_64/RHEL-6.4-x86_64-bin-DVD1.iso</iso>
  </install>
  <rootpw>CHANGE THIS TO YOUR ROOT PASSWORD</rootpw>
</os>
<description>RHEL 6.4 x86_64</description>
<repositories>
  <repository name='epel-6'>
  <url>http://download.fedoraproject.org/pub/epel/6/$basearch</url>
  <signed>no</signed>
  </repository>
</repositories>
<packages>
  <package name='epel-release'/>
  <package name='cloud-utils'/>
  <package name='cloud-init'/>
</packages>
<commands>
  <command name='update'>
  yum update
  yum clean all
  sed -i '/^HWADDR/d' /etc/sysconfig/network-scripts/ifcfg-eth0
  echo -n > /etc/udev/rules.d/70-persistent-net.rules
  echo -n > /lib/udev/rules.d/75-persistent-net-generator.rules
  chkconfig --level 0123456 autofs off
  service autofs stop
  </command>
</commands>
</template>

Copy to Clipboard

Toggle word wrap

考虑避免手动镜像构建过程，因为它比较复杂且容易出错。另外，使用自动化系统（如 Oz）进行镜像构建，或者一个配置管理实用程序（如 Chef 或 Puppet）进行引导镜像强化，使您能够在一段时间内生成一致的镜像，并跟踪其相应强化准则。

如果订阅公共云服务，您应该检查云提供商中用于生成默认镜像的流程的概述。如果该供应商允许您上传自己的镜像，您可能希望确保在使用镜像来创建实例之前验证您的镜像是否没有被修改。要做到这一点，请参阅 _ verify image signatures_ 或以下段落（如果没有使用签名）。

Image Service (glance)用于将镜像上传到节点上的 Compute 服务。此传输应通过 TLS 进行进一步强化。镜像位于节点上后，它会使用基本校验和进行检查，然后根据要启动的实例的大小扩展其磁盘。如果稍后，会在这个节点上使用相同的实例大小启动同一镜像，它会从同一扩展的镜像启动。由于此扩展的镜像在启动前不会默认重新验证，因此存在其被篡改的风险。除非手动检查文件在生成的镜像中，否则用户不会感知感知。为了帮助缓解这个问题，请参阅验证镜像签名主题部分。

返回顶部

12.3. 使用可信镜像

12.3.1. 创建镜像
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

12.3. 使用可信镜像

12.3.1. 创建镜像复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

12.3.1. 创建镜像
复制链接