OpenStack中加固VNC访问安全

╰半夏微凉° 2023-02-17 03:11 13阅读 0赞

# OpenStack中加固VNC访问安全 #

--------------------

### 目录 ###

*  OpenStack中加固VNC访问安全
 *   *  1.问题发现
     *  2.流程分析
     *  3.潜在后果
     *  4.解决方案
     *   *  ④配置IPtables
         *  ⑤VNC添加访问密码
     *  5.参考链接

--------------------

## 1.问题发现 ##

很多同学使用noVNC之后都没有退出终端的习惯，往往都是用完了就直接关闭网页窗口。说这样隐患很大，如果内网里面有一些script kiddie随时都能将我们线上的虚拟机VNC端口扫出来。  
下面使用nmap测试一下开发环境中的计算节点的端口开放情况。

ubuntu@ubuntu:~ $ nmap 192.168.23.12
    Starting Nmap 7.70 ( https://nmap.org ) at 2019-06-13 19:22 CST
    Nmap scan report for 192.168.23.12
    Host is up (0.0099s latency).
    Not shown: 992 closed ports
    PORT     STATE SERVICE
    22/tcp   open  ssh
    4000/tcp open  remoteanything
    5900/tcp open  vnc
    5901/tcp open  vnc-1
    5902/tcp open  vnc-2
    5903/tcp open  vnc-3
    5904/tcp open  unknown
    8000/tcp open  cvd
    
    Nmap done: 1 IP address (1 host up) scanned in 0.31 seconds
    ubuntu@ubuntu:~ $

如果有业务同学在使用noVNC之后没有退出终端，那么另一个人如果知道了宿主机的IP和端口是完全可以登录这台虚拟机的。

## 2.流程分析 ##

> OpenStack VNC Proxy 流程分析

我们知道OpenStack通过VNC Proxy将管理网和业务网隔离开来，以便我们可以使用管理网络的6080端口访问虚拟机VNC，同时提供Token用于验证访问的合法性。一个VNC Proxy在OpenStack里的处理流程如下[参考][Link 1]：

![一个VNC Proxy在OpenStack里的处理流程][VNC Proxy_OpenStack]

> 1.  一个用户试图从浏览器里面打开连接到虚拟机的VNC Client
> 2.  浏览器向nova-api发送请求，要求返回访问vnc的url
> 3.  nova-api调用nova-compute的get vnc console方法，要求返回连接VNC的信息  
>     4.nova-compute调用libvirt的get vnc console函数  
>     5.libvirt会通过解析虚拟机运行的/etc/libvirt/qemu/instance-0000000c.xml文件来获得VNC Server的信息  
>     6.libvirt将host, port等信息以json格式返回给nova-compute  
>     7.nova-compute会随机生成一个UUID作为Token  
>     8.nova-compute将libvirt返回的信息以及配置文件中的信息综合成connect\_info返回给nova-api  
>     9.nova-api会调用nova-consoleauth的authorize\_console函数  
>     10.nova-consoleauth会将instance –> token, token –> connect\_info的信息cache起来  
>     11.nova-api将connect\_info中的access url信息返回给浏览器：`http://172.24.1.1:6080/vnc_auto.html?token=7efaee3f-eada-4731-a87c-e173cbd25e98&title=helloworld%289169fdb2-5b74-46b1-9803-60d2926bd97c%29`  
>     12.浏览器会试图打开这个链接  
>     13.这个链接会将请求发送给nova-novncproxy  
>     14.nova-novncproxy调用nova-consoleauth的check\_token函数  
>     15.nova-consoleauth验证了这个token，将这个instance对应的connect\_info返回给nova-novncproxy  
>     16.nova-novncproxy通过connect\_info中的host, port等信息，连接compute节点上的VNC Server，从而开始了proxy的工作。  
>     参考：https://www.jianshu.com/p/b91dc99c5b77

## 3.潜在后果 ##

知道IP地址，扫描出端口号，直接通过VNC连接虚拟机进行操作。

## 4.解决方案 ##

*  ①从交换和防火墙的ACL控制IP访问
 *  ②修改各计算节点 nova.conf中 vncserver\_listen 配置为内网 IP ，保证新建虚机没问题
 *  ③现有以及之后新建的的虚拟机，修改 libvirt.xml 中的 vnc 的监听端口，保证虚机重启后不会向公网开放端口
 *  ④修改IPtables配置规则，屏蔽端口访问，把除内网以外网段的5900~5999端口给封禁
 *  ⑤vnc增加访问密码  
    下面针对方法④和方法⑤进行详细的说明。

### ④配置IPtables ###

根据**OpenStack VNC Proxy 流程分析**中的，第16步, nova-novncproxy是通过连接host:vncport的方式提供vnc访问服务。即，计算节点的VNC端口只需要允许让nova-novncporxy服务能够访问就行。

在所有**计算节点**IPTABLES的INPUT表中添加如下规则：

$ iptables -A INPUT -s {
        {
         CONTROLLER_NODE_IP }}/32 -p tcp -m multiport --dports 5900:5999 -m comment --comment "ACCEPT VNC Port only by Controller Node" -j ACCEPT
    
    $ iptables -A INPUT -p tcp -m multiport --dports 5900:5999 -j REJECT --reject-with icmp-port-unreachable

意思就是只允许控制节点访问本机的5900-5999端口，其他的一律拒绝。  
当再次使用nmap进行扫描时，便不能看到VNC的端口。

$ nmap 192.168.23.12

### ⑤VNC添加访问密码 ###

对应的配置文件为：virt/libvirt/config.py

libvirtd在`<graphics>`域里面是支持配置VNC的访问密码

...
     <graphics type='vnc' port='-1' autoport='yes' listen='192.168.23.59' passwd='YOUR-PASSWORD-HERE' keymap='en-us'/>
    ...

，那么Nova在创建虚拟机配置的方法中也可以找到对应graphics的代码，我这里修改得很简单，直接在返回的dev列表里面添加个passwd的value，而value就是VNC的访问密码。

1482 class LibvirtConfigGuestGraphics(LibvirtConfigGuestDevice):
    1483 
    1484     def __init__(self, **kwargs):
    1485         super(LibvirtConfigGuestGraphics, self).__init__(root_name="graphics",
    1486                                                          **kwargs)
    1487 
    1488         self.type = "vnc"
    1489         self.autoport = True
    1490         self.keymap = None
    1491         self.listen = None
    1492 
    1493     def format_dom(self):
    1494         dev = super(LibvirtConfigGuestGraphics, self).format_dom()
    1495 
    1496         dev.set("type", self.type)
    1497         if self.autoport:
    1498             dev.set("autoport", "yes")
    1499         else:
    1500             dev.set("autoport", "no")
    1501         if self.keymap:
    1502             dev.set("keymap", self.keymap)
    1503         if self.listen:
    1504             dev.set("listen", self.listen)
    1505 #       dev.set("passwd", "123456")
    1506         return dev

其中`dev.set("passwd", "123456")`是新加入的一行，如果不需要vnc访问输入密码，直接注释掉即可。  
下面是一次解决过程，因开发环境使用的是容器化部署，文件路径比较长。  
**解决过程**  
查找文件

root@controller1:~# find /var/lib/docker/aufs/diff  -name config.py | grep nova
    /var/lib/docker/aufs/diff/pr0XDEZwLDflwwzUPc0mNVYwf6b3wJ4wxEwxNBRlmKMD7qRurdlBck41J8hAkjd3/usr/lib/python2.7/dist-packages/nova/config.py
    /var/lib/docker/aufs/diff/pr0XDEZwLDflwwzUPc0mNVYwf6b3wJ4wxEwxNBRlmKMD7qRurdlBck41J8hAkjd3/usr/lib/python2.7/dist-packages/nova/virt/libvirt/config.py
    /var/lib/docker/aufs/diff/pr0XDEZwLDflwwzUPc0mNVYwf6b3wJ4wxEwxNBRlmKMD7qRurdlBck41J8hAkjd3/usr/lib/python2.7/dist-packages/nova/common/config.py

进入配置文件所在路径

root@controller01:~# cd /var/lib/docker/aufs/diff/pr0XDEZwLDflwwzUPc0mNVYwf6b3wJ4wxEwxNBRlmKMD7qRurdlBck41J8hAkjd3/usr/lib/python2.7/dist-packages/nova/virt/libvirt/
    root@controller01:/var/lib/docker/aufs/diff/pr0XDEZwLDflwwzUPc0mNVYwf6b3wJ4wxEwxNBRlmKMD7qRurdlBck41J8hAkjd3/usr/lib/python2.7/dist-packages/nova/virt/libvirt# ls
    blockinfo.py   compat.py   config.py          config.pyc   designer.pyc  driver.pyc   firewall.pyc  guest.pyc  host.pyc         imagebackend.pyc  imagecache.pyc  __init__.pyc           instancejobtracker.pyc  migration.pyc  utils.py   vif.py   volume
    blockinfo.pyc  compat.pyc  config.py.bak.ori  designer.py  driver.py     firewall.py  guest.py      host.py    imagebackend.py  imagecache.py     __init__.py     instancejobtracker.py  migration.py            storage        utils.pyc  vif.pyc

修改配置文件

root@controller1:/var/lib/docker/aufs/diff/pr0XDEZwLDflwwzUPc0mNVYwf6b3wJ4wxEwxNBRlmKMD7qRurdlBck41J8hAkjd3/usr/lib/python2.7/dist-packages/nova/virt/libvirt# vim config.py

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTM0Njk3NTM_size_16_color_FFFFFF_t_70_pic_center]  
修改后，重启nova-compute服务，即在下次创建虚拟机的时候生效，其结果如下：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTM0Njk3NTM_size_16_color_FFFFFF_t_70_pic_center 1]  
输入密码`virt/libvirt/config.py`配置中新增的密码`123456`即可正进入虚拟机。

## 5.参考链接 ##

[关于OpenStack中虚拟机VNC访问安全问题][Link 1]  
[民生银行 OpenStack 安全加固探索与实践][OpenStack]

[openstack VNC安全问题][openstack VNC]  
[OpenStack的VNC配置][OpenStack_VNC]  
[OpenStack的VNC安全][OpenStack_VNC 1]

[Link 1]: https://www.jianshu.com/p/b91dc99c5b77
[VNC Proxy_OpenStack]: https://img-blog.csdnimg.cn/20200612120014181.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTM0Njk3NTM=,size_16,color_FFFFFF,t_70#pic_center
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTM0Njk3NTM_size_16_color_FFFFFF_t_70_pic_center]: https://img-blog.csdnimg.cn/2020062315251043.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTM0Njk3NTM=,size_16,color_FFFFFF,t_70#pic_center
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTM0Njk3NTM_size_16_color_FFFFFF_t_70_pic_center 1]: https://img-blog.csdnimg.cn/20200623152554309.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTM0Njk3NTM=,size_16,color_FFFFFF,t_70#pic_center
[OpenStack]: https://www.infoq.cn/article/OEvTEQIjGuJXqbfc-We2
[openstack VNC]: https://www.cnblogs.com/myiaas/p/4161301.html
[OpenStack_VNC]: http://www.buxiangshuohua.com/openstack%E7%9A%84vnc%E9%85%8D%E7%BD%AE/
[OpenStack_VNC 1]: http://www.buxiangshuohua.com/openstack%e7%9a%84vnc%e5%ae%89%e5%85%a8/