5.4.7. Ceph 用户管理限制
cephx
协议相互验证 Ceph 客户端和服务器。它并不适用于处理代表其运行的人用户或应用程序程序的身份验证。如果需要该效果来处理访问控制需求,则您必须有另一种机制,该机制可能特定于用于访问 Ceph 对象存储的前端。这种其他机制具有确保 Ceph 允许访问其对象存储的计算机上只有可接受的用户和程序能够运行的角色。
用于验证 Ceph 客户端和服务器的密钥通常存储在可信主机中具有适当权限的纯文本文件中。
在纯文本文件中存储密钥具有安全性不足,但难以避免,因为 Ceph 在后台使用的基本身份验证方法。设置 Ceph 系统应该了解这些不足的问题。
特别是任意用户计算机(特别是便携式计算机)应配置为直接与 Ceph 交互,因为这种模式需要在不安全的计算机上存储纯文本验证密钥。对机器造成破坏或获取访问权限的任何人都可以获取允许他们向 Ceph 验证自己机器的密钥。
用户不必允许潜在的不安全计算机直接访问 Ceph 对象存储,而是需要使用为目的提供足够的安全性的方法,在环境中登录可信机器。该可信计算机将为人类用户存储纯文本 Ceph 密钥。未来的 Ceph 版本可以更加全面地解决这些特定身份验证问题。
目前,没有 Ceph 身份验证协议在传输过程中为消息提供保密性。因此,线路图可以听到和理解 Ceph 中客户端和服务器之间发送的所有数据,即使他无法创建或更改它们。在 Ceph 中存储敏感数据时,应考虑加密其数据,然后再将其提供给 Ceph 系统。
例如,Ceph 对象网关提供 S3 API Serverside Encryption,它在将 Ceph Object Gateway 客户端中存储并类似地解密从 Ceph Storage 集群发送之前从 Ceph Storage 集群接收的数据加密。为确保在客户端和 Ceph 对象网关之间传输加密,Ceph 对象网关应配置为使用 SSL。