從cloudstack預設配置看NFS安全

看到有同學寫了關於NFS的運維安全，本菜鳥以cloudstack為例也寫下關於NFS訪問控制安全吧。

0x00 NFS預設配置缺陷

在Cloudstack雲平臺部署時，按照apache官方的安裝文件，如果又不對管理網路進行隔離會導致整個雲環境中的虛擬機器處於危險狀態：

http://cloudstack.apache.org/docs/zh-CN/Apache_CloudStack/4.1.1/html/Installation_Guide/management-server-install-flow.html#prepare-nfs-share

1.     配置新的路徑作為 NFS 引入, 編輯/etc/exports。引入NFS 共享用rw,async,no_root_squash。例如：

#!bash
#vi /etc/exports

插入下列行。

/export *(rw,async,no_root_squash)

看到如上的配置exports檔案，小夥伴們震驚了吧，任意使用者可以讀取與寫入檔案，該配置是對整個雲環境的儲存做的配置，也就意味著任意能夠訪問到該IP的使用者都可控制整個雲系統。

0x01 攻擊許可權配置不當的NFS系統

只要在雲環境中的任意一臺主機進行檢視：

然後進行mount 該資料夾，可以任意操作該儲存上的虛擬機器：

0x02 漏洞修復

還是/etc/exports下的檔案，如果配置成如下模式則可減少風險（我說的僅僅是減少）：

/export 172.19.104.6(rw,async,no_root_squash)

這樣就把訪問控制給了單獨的IP，但這樣是不是就安全了，小夥伴們可以繼續想偽造IP的辦法來繞過了。