openstack nova-rootwrap介绍

问题导读

1.rootwrap解决了哪些问题？
2.如何通过nova-rootwrap查看文件？
3.nova-rootwrap不能查看shadow文件的原因是什么？







使用root wrapper可以让非特权用户以root身份尽可能安全地执行部分操作。nova曾经使用sudoers文件来列出允许执行的特权命令，使用sudo来运行这么命令，但是这样不容易维护，而且不能进行复杂的参数处理，rootwrap就是为了解决这些问题。

使用sudo nova-rootwrap config-file command，而不再是使用sudo command。只需要使用一个通用的sudoers使nova-rootwrap以root身份运行。nova-rootwrap查看配置文件，加载command filters，检查请求的命令是否匹配某个filter，如果匹配就以root身份运行，否则就拒绝请求。

以devstack安装的openstack

stack@ubuntu:/home/openstack$ cat /etc/iscsi/initiatorname.iscsi
cat: /etc/iscsi/initiatorname.iscsi: Permission denied
复制代码

显示没有权限，查看文件的权限

stack@ubuntu:/home/openstack$ ls -l /etc/iscsi/initiatorname.iscsi
-rw------- 1 root root 348 Jan  5 05:21 /etc/iscsi/initiatorname.iscsi
复制代码

只有root有读和写的权限，再用nova-rootwrap试试

sudo nova-rootwrap /etc/nova/rootwrap.conf cat /etc/iscsi/initiatorname.iscsi
复制代码

可以查看文件内容了再看执行其他命令呢

stack@ubuntu:/root$ sudo nova-rootwrap /etc/nova/rootwrap.conf cat /etc/shadow
/usr/local/bin/nova-rootwrap: Unauthorized command: cat /etc/shadow (no filter matched)
复制代码

不能查看shadow文件，因为没有filter匹配到

sudoers文件是这么写的,路径在/etc/sudoers.d/nova-rootwrap
suoders.d文件夹下的配置都会被加载

stack ALL=(root) NOPASSWD: /usr/local/bin/nova-rootwrap /etc/nova/rootwrap.conf *
复制代码

所以stack用户可以用nova-rootwrap带任何参数，而且不需要输入密码(NOPASSWD)

在nova.conf文件中定义了rootwrap的配置文件路径

rootwrap_config=/etc/nova/rootwrap.conf
复制代码

在rootwrap.conf文件中

[DEFAULT]
filters_path=/etc/nova/rootwrap.d
exec_dirs=/sbin,/usr/sbin,/bin,/usr/bin
use_syslog=False
syslog_log_facility=syslog
syslog_log_level=ERROR
复制代码

filter_path包含filters的文件夹，多个文件夹以逗号分隔
exec_dirs为命令的路径，以逗号分隔多个目录

当使用 sudo nova-rootwrap /etc/nova/rootwrap.conf cat /etc/iscsi/initiatorname.iscsi 时，从filter_path目录下加载所有的filters 从所有filters中查找匹配到的filter，用一个新的进程执行

感谢版主分享。