在/etc/sudoers.d,我找到了一个名为“nova-common”的文件。
-r--r----- 1 root root 77 Mar 11 2015 nova-common
文件内容:
nova ALL = (root) NOPASSWD: /usr/bin/nova-rootwrap /etc/nova/rootwrap.conf *
于是我就去找那个包裹。输出dpkg-查询-l nova-common
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==============-============-============-=================================
ii nova-common 2014.1.3-11 all OpenStack Compute - common files
于是我在Debian上查找该包的文件列表:
...
/etc/sudoers.d/nova-common
...
因此,从安全角度来看,我的问题是:存在这样的文件是否正常/安全/etc/sudoers.d?
答案1
OpenStacknova是 OpenStack 的一部分,负责处理虚拟服务器的配置,即通常需要根级访问的大量配置。如果您想实现自动化,您需要某种机制来授予您的自动化必要的权限来执行您希望自动化的任务。
您可能想阅读rootwrap 上的文档:它实际上是一种扩展机制sudo,不仅允许对命令进行复杂的过滤,还允许对其参数进行复杂的过滤。因此,从理论上讲,它可以比单独使用更细粒度sudo。
这应该是一种更加有利于审计的方式,可以为自动化添加选择性权限,而不是仅仅将具有 setuid 权限的不透明二进制文件植入需要管理的系统。