Jump To Close Expand all Collapse all Table of contents 安全强化指南 使开源包含更多 对红帽文档提供反馈 1. 安全简介 Expand section "1. 安全简介" Collapse section "1. 安全简介" 1.1. Red Hat OpenStack Platform securtiy 1.2. 安全区 1.3. 连接安全区 1.4. 威胁分类、执行者和攻击向量 Expand section "1.4. 威胁分类、执行者和攻击向量" Collapse section "1.4. 威胁分类、执行者和攻击向量" 1.4.1. 威胁者 1.4.2. 出站攻击和建议风险 1.5. 支持软件 2. Documentation Expand section "2. Documentation" Collapse section "2. Documentation" 2.1. 系统角色和类型 2.2. 硬件清单 2.3. 软件清单 3. 加密和密钥管理 Expand section "3. 加密和密钥管理" Collapse section "3. 加密和密钥管理" 3.1. TLS 和 SSL 简介 3.2. 公钥基础架构 3.3. 认证授权 3.4. 使用 director 配置加密 3.5. TLS 库 3.6. 弃用 TLS 1.0 Expand section "3.6. 弃用 TLS 1.0" Collapse section "3.6. 弃用 TLS 1.0" 3.6.1. 检查是否使用了 TLS 1.0 3.7. 加密算法、密码模式和协议 3.8. TLS Proxies 和 HTTP 服务 3.9. perfect Forward Secrecy 3.10. 使用 Barbican 管理 secret 4. 身份和访问管理 Expand section "4. 身份和访问管理" Collapse section "4. 身份和访问管理" 4.1. 身份验证 4.2. 无效的登录尝试 4.3. 授权 4.4. 建立表单访问控制策略 4.5. Service Authorization 4.6. 令牌 Expand section "4.6. 令牌" Collapse section "4.6. 令牌" 4.6.1. Fernet 令牌 4.7. Keystone 域 4.8. 使用 LDAP 进行身份验证 4.9. 与基于 LDAP 的服务集成 Expand section "4.9. 与基于 LDAP 的服务集成" Collapse section "4.9. 与基于 LDAP 的服务集成" 4.9.1. LDAP 集成如何工作 5. 策略(policy) Expand section "5. 策略(policy)" Collapse section "5. 策略(policy)" 5.1. 检查现有策略 5.2. 了解服务策略 5.3. 策略语法 5.4. 使用策略文件进行访问控制 5.5. 示例:创建高级用户角色 5.6. 示例:根据属性限制访问 5.7. 审计用户和角色 5.8. 审计 API 访问 6. 强化基础架构和虚拟化 Expand section "6. 强化基础架构和虚拟化" Collapse section "6. 强化基础架构和虚拟化" 6.1. 虚拟机监控程序 Expand section "6.1. 虚拟机监控程序" Collapse section "6.1. 虚拟机监控程序" 6.1.1. 管理程序与裸机 6.1.2. hypervisor 内存优化 6.2. PCI Passthrough 6.3. Selinux Expand section "6.3. Selinux" Collapse section "6.3. Selinux" 6.3.1. labels 和 Categories 6.3.2. SELinux 用户和角色 6.4. 容器化服务 6.5. 强化计算部署 6.6. 固件更新 6.7. 块存储 Expand section "6.7. 块存储" Collapse section "6.7. 块存储" 6.7.1. 卷 Wiping 6.7.2. 将配置文件的用户/组所有权设置为 root/cinder 6.7.3. 为配置文件设置严格的权限 6.7.4. 使用 keystone 进行身份验证 6.7.5. 为身份验证启用 TLS 6.7.6. 确保块存储使用 TLS 与 Compute 通信 6.7.7. 设置请求的正文的最大大小 6.7.8. 启用卷加密 6.8. 网络 Expand section "6.8. 网络" Collapse section "6.8. 网络" 6.8.1. 网络架构 6.8.2. 物理服务器上的 Neutron 服务放置 6.8.3. 安全区 6.8.4. 网络服务 6.8.5. 使用 VLAN 和隧道进行 L2 隔离 6.8.6. vlans 6.8.7. L2 隧道 6.8.8. 访问控制列表 6.8.9. L3 路由和 NAT 6.8.10. 服务质量(QoS) 6.8.11. 负载平衡 6.8.12. 强化网络服务 6.8.13. 限制 API 服务器的绑定地址:neutron-server 6.8.14. 限制 OpenStack 网络服务的 DB 和 RPC 通信 6.8.15. 项目网络服务工作流 6.8.16. 网络资源策略引擎 6.8.17. 安全组 6.8.18. 配额 6.8.19. 缓解 ARP 欺骗 6.8.20. 将配置文件的用户/组所有权设置为 root/neutron 6.8.21. 为配置文件设置严格权限 6.8.22. 使用 Keystone 进行身份验证 6.8.23. 使用安全协议进行身份验证 6.8.24. 在 Neutron API 服务器上启用 TLS 7. 网络时间协议 Expand section "7. 网络时间协议" Collapse section "7. 网络时间协议" 7.1. 为什么持续时间很重要 7.2. NTP 设计 8. 使用 director 配置安全强化 Expand section "8. 使用 director 配置安全强化" Collapse section "8. 使用 director 配置安全强化" 8.1. 使用 SSH 横幅文本 8.2. 系统事件的审核 8.3. 管理防火墙规则 8.4. 使用 AIDE 入侵检测 Expand section "8.4. 使用 AIDE 入侵检测" Collapse section "8.4. 使用 AIDE 入侵检测" 8.4.1. 使用复杂 AIDE 规则 8.4.2. 其他 AIDE 值 8.4.3. AIDE 的 Cron 配置 8.4.4. 考虑系统升级的影响 8.5. 回顾 SecureTTY 8.6. Identity Service 的 CADF 审计 8.7. 检查 login.defs 值 9. 强化仪表板服务 Expand section "9. 强化仪表板服务" Collapse section "9. 强化仪表板服务" 9.1. 规划仪表板部署 Expand section "9.1. 规划仪表板部署" Collapse section "9.1. 规划仪表板部署" 9.1.1. 选择域名 9.1.2. 配置 ALLOWED_HOSTS 9.2. 了解常见的 Web 服务器漏洞 Expand section "9.2. 了解常见的 Web 服务器漏洞" Collapse section "9.2. 了解常见的 Web 服务器漏洞" 9.2.1. 跨站点脚本(XSS) 9.2.2. 跨站点请求 Forgery (CSRF) 9.2.3. 跨报脚本(XFS) 9.2.4. 为 Dashboard 流量使用 HTTPS 加密 9.2.5. HTTP 严格传输安全性(HSTS) 9.3. 缓存仪表板内容 Expand section "9.3. 缓存仪表板内容" Collapse section "9.3. 缓存仪表板内容" 9.3.1. 前端缓存 9.3.2. 会话后端 9.4. 检查 secret 密钥 9.5. 配置会话 Cookie 9.6. 静态介质 9.7. 验证密码复杂性 9.8. 强制管理员密码检查 9.9. disallow iframe embedding 9.10. 禁用密码显示 9.11. 显示仪表板的登录横幅 Expand section "9.11. 显示仪表板的登录横幅" Collapse section "9.11. 显示仪表板的登录横幅" 9.11.1. 自定义主题 9.12. 限制文件上传的大小 9.13. 调试仪表板服务 10. 强化共享文件系统服务(Manila) Expand section "10. 强化共享文件系统服务(Manila)" Collapse section "10. 强化共享文件系统服务(Manila)" 10.1. manila 的安全注意事项 10.2. manila 的网络和安全模型 10.3. 共享后端模式 10.4. manila 的网络要求 10.5. 使用 manila 的安全服务 Expand section "10.5. 使用 manila 的安全服务" Collapse section "10.5. 使用 manila 的安全服务" 10.5.1. 安全服务简介 10.5.2. 安全服务管理 10.6. 共享访问控制 10.7. 共享类型访问控制 10.8. 策略(policy) 11. 对象存储 Expand section "11. 对象存储" Collapse section "11. 对象存储" 11.1. 网络安全性 11.2. 常规服务安全性 Expand section "11.2. 常规服务安全性" Collapse section "11.2. 常规服务安全性" 11.2.1. 以非 root 用户身份运行服务 11.2.2. 文件权限 11.3. 保护存储服务 Expand section "11.3. 保护存储服务" Collapse section "11.3. 保护存储服务" 11.3.1. Object Storage 帐户术语 11.4. 保护代理服务 Expand section "11.4. 保护代理服务" Collapse section "11.4. 保护代理服务" 11.4.1. HTTP 侦听端口 11.4.2. 负载均衡器 11.5. 对象存储身份验证 Expand section "11.5. 对象存储身份验证" Collapse section "11.5. 对象存储身份验证" 11.5.1. Keystone 11.6. 加密 at-rest swift 对象 11.7. 其他项目 12. 监控和日志记录 Expand section "12. 监控和日志记录" Collapse section "12. 监控和日志记录" 12.1. 强化监控基础架构 12.2. 要监控的事件示例 13. 项目的数据隐私 Expand section "13. 项目的数据隐私" Collapse section "13. 项目的数据隐私" 13.1. 数据隐私问题 Expand section "13.1. 数据隐私问题" Collapse section "13.1. 数据隐私问题" 13.1.1. 数据驻留 13.1.2. 数据分布 13.1.3. 没有安全擦除的数据 13.1.4. 实例内存清理 13.1.5. 加密 Cinder 卷数据 13.1.6. 镜像服务延迟删除功能 13.1.7. 计算软删除功能 13.1.8. Compute 实例的临时存储 13.2. 裸机配置的安全强化 Expand section "13.2. 裸机配置的安全强化" Collapse section "13.2. 裸机配置的安全强化" 13.2.1. 硬件识别 13.3. 数据加密 Expand section "13.3. 数据加密" Collapse section "13.3. 数据加密" 13.3.1. 卷加密 13.3.2. 临时磁盘加密 Expand section "13.3.2. 临时磁盘加密" Collapse section "13.3.2. 临时磁盘加密" 13.3.2.1. 创建和使用加密的 LVM 临时磁盘 13.3.2.2. 与密钥管理服务交互 13.3.3. Object Storage 对象 13.3.4. 块存储性能和后端 13.3.5. 网络数据 13.4. 密钥管理 14. 管理实例安全 Expand section "14. 管理实例安全" Collapse section "14. 管理实例安全" 14.1. 为实例提供熵 14.2. 将实例调度到节点 14.3. 使用可信镜像 Expand section "14.3. 使用可信镜像" Collapse section "14.3. 使用可信镜像" 14.3.1. 创建镜像 14.3.2. 验证镜像签名 14.4. 迁移实例 Expand section "14.4. 迁移实例" Collapse section "14.4. 迁移实例" 14.4.1. 实时迁移风险 14.4.2. 实时迁移缓解方案 Expand section "14.4.2. 实时迁移缓解方案" Collapse section "14.4.2. 实时迁移缓解方案" 14.4.2.1. 禁用实时迁移 14.4.2.2. 迁移网络 14.4.2.3. 加密实时迁移 14.5. 监控、警报和报告 Expand section "14.5. 监控、警报和报告" Collapse section "14.5. 监控、警报和报告" 14.5.1. 更新和补丁 14.5.2. 防火墙和实例配置集 Expand section "14.5.2. 防火墙和实例配置集" Collapse section "14.5.2. 防火墙和实例配置集" 14.5.2.1. 安全组 14.5.3. 访问实例控制台 14.5.4. 证书注入 15. 消息排队 Expand section "15. 消息排队" Collapse section "15. 消息排队" 15.1. 消息传递安全性 15.2. 消息传递传输安全性 Expand section "15.2. 消息传递传输安全性" Collapse section "15.2. 消息传递传输安全性" 15.2.1. RabbitMQ 服务器 SSL 配置 15.3. 队列身份验证和访问控制 Expand section "15.3. 队列身份验证和访问控制" Collapse section "15.3. 队列身份验证和访问控制" 15.3.1. RabbitMQ 的 OpenStack 服务配置 15.3.2. Qpid 的 OpenStack 服务配置 15.4. 消息队列进程隔离和策略 Expand section "15.4. 消息队列进程隔离和策略" Collapse section "15.4. 消息队列进程隔离和策略" 15.4.1. 命名空间 16. 强化 API 端点 Expand section "16. 强化 API 端点" Collapse section "16. 强化 API 端点" 16.1. API 端点配置建议 Expand section "16.1. API 端点配置建议" Collapse section "16.1. API 端点配置建议" 16.1.1. 内部 API 通信 16.1.2. 在 Identity 服务目录中配置内部 URL 16.1.3. 为内部 URL 配置应用程序 16.1.4. 粘贴和中间件 16.1.5. API 端点进程隔离和策略 16.1.6. 命名空间 16.1.7. 网络策略 16.1.8. 强制访问控制 16.1.9. API 端点速率限制 17. 实施联邦 Expand section "17. 实施联邦" Collapse section "17. 实施联邦" 17.1. 使用红帽单点登录与 IdM 联合 17.2. 联邦工作流 法律通告 Settings Close Language: English 한국어 简体中文 日本語 Language: English 한국어 简体中文 日本語 Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: English 한국어 简体中文 日本語 Language: English 한국어 简体中文 日本語 Format: Multi-page Single-page Format: Multi-page Single-page Red Hat Training A Red Hat training course is available for Red Hat OpenStack Platform 3.5. TLS 库 OpenStack 生态系统中的某些组件、服务和应用程序可以配置为使用 TLS 库。OpenStack 中的 TLS 和 HTTP 服务通常使用 OpenSSL 实施,后者具有一个经过 FIPS 140-2 验证的模块。但是,请考虑每个应用程序或服务仍可能会在使用 OpenSSL 库时引入弱点。 Previous Next