国内云服务的安全问题

2016-12-03 18:39:37 +08:00
 chohoor
最近在 aliyun 上新开了一个 centos7.2 的服务器,改完 hostname ,发现重启后还会变回去。研究了一下,发现是 cloud-init 在每次开机时都会改一下 hostname ,禁止这个服务,重启,成功,于是有感。

通过查资料发现,在创建云主机的时候是通过 cloud-init 注入密码,密钥,进行一些初始化的配置(看过 nova 代码,发现 kvm 底层就可以注入密码了,不用在虚拟机里添加其它服务)。

然而不仅仅是这些,在研究弹性伸缩的时候发现远程还可以通过 cloud-init 执行脚本!!这不是等于留了一个很大的后门给云服务商吗?细思极恐。

以前用阿里的服务器, rc.local 里有好些开机运行的脚本,最近开的这台虽然没有了,但是通过 systemctl 看到还是有阿里和一些不知道干什么的服务。

监控和安全这些功能,完全可以在虚拟机外部而不用给虚拟机预装服务就可以实现,有时候,我们只需要一个干净的,而不是通过被预装了 xx 服务的镜像来创建的服务器。然而,国内的服务商好像普遍都没有用户上传自定义镜像来创建服务器的功能,目前就知道国外的 vultr 可以。

楼主云计算专业还没毕业,以上个人见解。
对于云服务器后门,大家有什么看法。顺便请推荐国内哪家可以上传自定义镜像来创建服务器。
7554 次点击
所在节点    云计算
71 条回复
chohoor
2016-12-04 10:43:02 +08:00
@aveline 自己上传的镜像没有 cloud-init 哦
chohoor
2016-12-04 10:44:20 +08:00
@doubleflower 吓!只是想要个干净的系统,知道系统在干什么而已……
hanmiao
2016-12-04 10:51:03 +08:00
其实我在阿里云相关的技术群里聊这种事,被各种教育(非阿里云人员)。要考虑稳定性,要注重业务而不是自建镜像。多个有大量客户的都表示别作死,业务第一。除非你没客户就是折腾着玩,没太大意义。居然都表示有这功能也不会去用。
xiaoc19
2016-12-04 10:52:16 +08:00
愿意用国内的,就放弃安全吧
vultr
2016-12-04 11:22:54 +08:00
@hanmiao 如果你遇到 https://www.v2ex.com/t/217931 这样的事件,那就不知道是谁在作死了。多些人从技术上关注阿里云并不是什么坏事情。
9hills
2016-12-04 11:30:25 +08:00
@tempdban nova 还真能在没有 agent 的情况下注入 root 密码。

http://docs.openstack.org/admin-guide/compute-admin-password-injection.html

KVM 是不需要 Agent 的, XEN Windows 需要 Agent 注入
hanmiao
2016-12-04 11:36:52 +08:00
@vultr 除非你真遇到这种情况,然而由于阿里云对监控和杀毒之类的丧心病狂的集成。你是要用呢,还是当 vps 不要各种服务器运行数据呢?
chohoor
2016-12-04 12:06:58 +08:00
@hanmiao 个人折腾没什么重要业务,还是想要干净的系统。如果是企业,也应该有专业运维吧。
chohoor
2016-12-04 12:11:31 +08:00
@xiaoc19 一般用香港节点,只是搭个梯子,博客和小程序这些,没什么重要的东西,但总有一种被别人偷窥的不安全感。用国外的话 ping 太高。
uuuing
2016-12-04 12:13:56 +08:00
按照你的理论 你干脆自建机房算了 然后机房门口养 10 条狼狗谁进来咬死谁,你就自己在机房呆着,饿了叫外卖,大小便机房解决。这样理论上绝对安全
mandymak
2016-12-04 12:23:10 +08:00
@chohoor 那就用来中转加速到 vultr 好了。
chohoor
2016-12-04 12:32:26 +08:00
@uuuing 没有人想把自己的隐私和安全暴露给别人,除非那些什么都不会的。我是只是自己拿来玩玩,虽然里面也没什么重要东西,云服务商也对我没兴趣。有业务需要云服务商支持的那就另当别论。
uuuing
2016-12-04 12:36:30 +08:00
@chohoor 那你就用国外的,相对国内来说老外就算拿到你的资料对你的威胁也少一些。
chohoor
2016-12-04 12:38:27 +08:00
@mandymak 用 vultr 在东京节点开了一个,发现不像以前那样绕道美国再回来了,延迟 80+到 100 多,中转的话两个延迟加一起好像更慢了呢……
mandymak
2016-12-04 12:41:45 +08:00
@chohoor 广东电信?
tempdban
2016-12-04 13:13:38 +08:00
@9hills 兄弟,你也看的不深啊, libvirt 注入密码,不也是用 nbd 么? nbd 只支持 qcow(2)格式的硬盘镜像,上了 ceph 之后硬盘镜像都是 raw 的,再所谓的 libvirt 注入一下试试,
这种东西不是看了文档,看了几行代码就是懂了会了,要动手。
9hills
2016-12-04 13:58:45 +08:00
@tempdban 呵呵,半瓶子醋。 Ceph 一定要用 raw 格式?你自己试过么?
9hills
2016-12-04 14:25:04 +08:00
说回正题,云主机内置 Agent 的事情,其实大部分服务商都是标配,但是这里最好是做成 optional 的

自己实现一个 Agent 也不难,比较简单,但是安全性等都无法保证,虽然能够做的事情更多就是了。
不自己实现的话, QEMU Guest Agent 勉强对凑吧,并且做成配置项,用户启动的时候给个可选。
tempdban
2016-12-04 14:27:12 +08:00
@9hills 您是我亲大哥 人 ceph 自己都说了
Ceph doesn ’ t support QCOW2 for hosting a virtual machine disk.
http://docs.ceph.com/docs/master/rbd/rbd-openstack/
tempdban
2016-12-04 14:28:14 +08:00
@9hills 我给你粘全一点
mportant Ceph doesn ’ t support QCOW2 for hosting a virtual machine disk. Thus if you want to boot virtual machines in Ceph (ephemeral backend or boot from volume), the Glance image format must be RAW.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/325064

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX