從cloudstack預設配置看NFS安全
作者:
·
2014/04/24 11:52
看到有同學寫了關於NFS的運維安全,本菜鳥以cloudstack為例也寫下關於NFS訪問控制安全吧。
0x00 NFS預設配置缺陷
在Cloudstack雲平臺部署時,按照apache官方的安裝文件,如果又不對管理網路進行隔離會導致整個雲環境中的虛擬機器處於危險狀態:
1. 配置新的路徑作為 NFS 引入, 編輯/etc/exports。引入NFS 共享用rw,async,no_root_squash。例如:
#!bash
#vi /etc/exports
插入下列行。
/export *(rw,async,no_root_squash)
看到如上的配置exports檔案,小夥伴們震驚了吧,任意使用者可以讀取與寫入檔案,該配置是對整個雲環境的儲存做的配置,也就意味著任意能夠訪問到該IP的使用者都可控制整個雲系統。
0x01 攻擊許可權配置不當的NFS系統
只要在雲環境中的任意一臺主機進行檢視:
然後進行mount 該資料夾,可以任意操作該儲存上的虛擬機器:
0x02 漏洞修復
還是/etc/exports下的檔案,如果配置成如下模式則可減少風險(我說的僅僅是減少):
/export 172.19.104.6(rw,async,no_root_squash)
這樣就把訪問控制給了單獨的IP,但這樣是不是就安全了,小夥伴們可以繼續想偽造IP的辦法來繞過了。
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!
相關文章
- 配置NFS固定埠NFS
- 運維安全之NFS安全運維NFS
- 配置 NFS 共享目錄NFS
- 從智慧城市建設,看如何構建智慧安全基礎設施?
- 峰會預告 | 安全研究視角看macOS平臺EDR安全能力建設Mac
- NFS配置不當那些事NFS
- Linux伺服器---配置nfsLinux伺服器NFS
- Linux伺服器—配置nfsLinux伺服器NFS
- NFS-Ganasha 高可用配置NFS
- NFS服務配置總結NFS
- 在Linux中,如何配置NFS共享?LinuxNFS
- Ubuntu 20.04 中配置NFS服務UbuntuNFS
- 從原始碼看Flask框架配置管理原始碼Flask框架
- 如何為NFS服務安全加固NFS
- 從重大漏洞應急看雲原生架構下的安全建設與安全運營(上)架構
- 從重大漏洞應急看雲原生架構下的安全建設與安全運營(下)架構
- 從IDC資料庫安全報告,看OceanBase安全能力資料庫
- k8s-NFS系統配置K8SNFS
- mac環境配置本地nfs服務MacNFS
- 從 “RSAC創新沙盒2019” 看終端安全
- 從索尼洩密看雲端計算安全
- 預設非安全埠列表
- 【雲原生安全】從分散式追蹤看雲原生應用安全分散式
- Ubuntu 配置預設編輯器Ubuntu
- Nginx配置網站預設httpsNginx網站HTTP
- 從“快穩省安全”看Chromium——Chromium學習系列
- 從烏雲看運維安全那點事兒運維
- 從《風起隴西》看企業資料安全
- 聚焦雲原生安全|從分散式追蹤看雲原生應用安全分散式
- ssh配置檔案安全設定
- 從零手寫實現 nginx-17-nginx.conf 全域性的預設配置Nginx
- [譯] 從設計師的角度看 ReduxRedux
- 從設計模式角度看OkHttp原始碼設計模式HTTP原始碼
- 從程式設計師的角度看 12306程式設計師
- centos7配置nfs共享儲存服務CentOSNFS
- Linux系統配置NFS檔案共享服務LinuxNFS
- gdb配置預設連線遠端
- 檢視JVM預設配置引數JVM