MAAS:禁用 iSCSI,还是需要身份验证?

MAAS:禁用 iSCSI,还是需要身份验证?

我们正在使用 MAAS 来管理我们的集群。Nessus 抱怨我们的 MAAS 区域控制器不安全,因为它在未经身份验证的情况下在其公共 IP 上公开 iSCSI 目标。以下是 Nessus 的说法:

3260/tcp
51368 - iSCSI Unauthenticated Target Detection

The following iSCSI targets allow unauthenticated access :

-iqn.2004-05.com.ubuntu:maas:ephemeral-ubuntu-amd64-hwe-x-xenial-release
-iqn.2004-05.com.ubuntu:maas:ephemeral-ubuntu-amd64-hwe-x-trusty-release
...

有没有办法禁用 iSCSI 支持(我相信我们不使用它)或保护这些目标?另一种选择是让它们只监听主服务器的内部 IP,而不是公共 IP。这将使它们对集群机器可见,但对公众不可见。

答案1

MAAS 使用 ISCSI 目标进行临时 Ubuntu 启动。临时 Ubuntu 启动是在计算机被登记、调试、部署和磁盘擦除时完成的。删除这些目标将导致 MAAS 中断并阻止计算机部署。

您可以修改 tgt 以仅监听机器用于与 MAAS 通信的 IP 地址,或者使用 iptables 阻止公共接口上的 tgt 端口。

答案2

targetcli 命令将为您提供一个基于文本的 GUI,使您可以轻松创建、重新启动、更新和删除 iscsi 目标。

安装它

sudo apt-get install targetcli

运行它

sudo targetcli
  • 类型ls查看您已定义的目标。
  • 类型光盘沿着树上下移动
  • 类型删除PATH 删除 PATH 中的对象或省略 PATH 删除当前级别的所有内容。
  • 类型帮助查看命令列表
  • 类型出口退出

相关内容