6.7. 块存储

擦除块存储设备的方法有多种。传统方法是将 lvm_type 设置为 thin，然后使用 volume_clear 参数。或者，如果卷加密功能我们已描述，如果删除了卷加密密钥，则不需要卷加密功能。

volume_clear 参数可以接受 zero 或 shred 作为参数。零 可将单个从零写到设备。shred 操作将写入预定的位模式的三个通过。

配置文件包含组件可以平稳运行所需的关键参数和信息。如果非特权用户被有意或意外地修改或删除任何 par ater 或文件本身，则会导致严重可用性问题导致拒绝服务到其他最终用户。因此，此类关键配置文件的用户所有权必须设置为 root，并且组所有权必须设置为 cinder。

主机上不存在 cinder 组。使用 ls -l 将显示组所有者的 GID。

sudo ls -l /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf
-rw-r-----. 1 root 42407 188012 Dec 11 09:34 /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf

sudo stat -L -c "%U %G" /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf
root UNKNOWN

使用以下命令，检查 cinder.conf 配置文件的用户和组所有权是否已分别设置为 root 和 cinder：

sudo docker exec -it cinder_api stat -L -c "%U %G" /etc/cinder/cinder.conf
root cinder

检查 cinder.conf 配置文件的权限是否已设置为 640 或 stricter。

$ stat -L -c "%a" /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf

在 /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf 中，检查 [DEFAULT] 部分下的 auth_strategy 的值是否已设置为 keystone，而不是 noauth。

在 /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf 中，检查 [keystone_authtoken] 部分下的 auth_uri 的值设置为一个以 https:// ' 开头的身份 API 端点，以及 [keystone_authtoken] 下参数 'insecure 的值 是否设为 False。

在 cinder.conf 中，检查 [DEFAULT] 部分下的 glance_api_servers 的值是否已设置为以 https:// 开头，并且参数 glance_api_insecure 的值设置为 False。

如果没有定义每个请求的最大正文大小，攻击者可以制作一个大容量的任意 OSAPI 请求，从而导致服务崩溃，最终导致服务攻击。分配 t he maximum 值可确保任何恶意的超值被禁止确保服务持续可用。

查看 cinder.conf 中的 [oslo_middleware] 部分下的 max_request_body_size 是否已设置为 114688。

未加密的卷数据使卷托管平台对于攻击者而言尤为高值目标，因为它允许攻击者为许多不同的虚拟机读取数据。此外，物理存储介质库来自其他计算机被盗、重新挂载和访问。加密卷数据和卷备份可帮助缓解这些风险，并为卷托管平台提供防御性。块存储(c inder)可以在写入磁盘前对卷数据进行加密，因此请考虑启用卷加密，并使用 Barbican 进行私钥存储。