nova-rootwrapper相关

最新推荐文章于 2025-08-15 14:32:02 发布
最新推荐文章于 2025-08-15 14:32:02 发布
阅读量1.5k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: command filter 正则表达式 kill 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weiyuanke/article/details/7966012
本文介绍了OpenStack中Nova-rootwrapper工具的设计理念与配置方法。通过使用Nova-rootwrapper,OpenStack能够更精细地控制需要管理员权限的操作,提高系统的灵活性与安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

openstack运行在普通用户身份下,但运行过程中发起相关指令时却需要管理员特权。

之前这一过程是通过sudo来实现的,通过sudoers文件的简单配置,通过sudo command1 .. 就可以使得command1命令运行在root权限下。

但是这一做法有一个缺陷:无法对权限做详细的控制,如命令的参数;


nova-rootwrapper

为了解决这一缺陷,openstack项目组设计了nova-rootwrapper工具。

发起相关命令时采用:

sudo nova-rootwrapper /etc/nova/rootwrapper.conf command1 .. 

在sudo的配置文件中,只允许openstack以root的权限运行nova-rootwrapper命令

nova ALL = (root) NOPASSWD: /usr/bin/nova-rootwrap /etc/nova/rootwrap.conf *

nova-rootwrapper会根据自己的配置文件,读取相关filter,来检查当前运行的命令command1有没有运行权限,如果没有话则拒绝执行。

通过这种方式,将对sudo的配置,转移到了对nova-rootwrapper的配置,从而灵活度、自由度都得到了增加。


nova-rootwrapper的配置文件是由一个个的filter组成的,当前定义有如下的filter classes:

CommandFilter:

最基本的一种FilterClass,只检查当前命令本身,不对命令的参数进行检查。

有两个参数:可执行命令,以什么用户身份运行该命令

配置示例如下:

ietadm: CommandFilter, /usr/sbin/ietadm, root

RegExpFilter:

采用正则表达式检查命令的运行参数

ReadFileFilter:

检查命令读取的文件

read_initiator: ReadFileFilter, /etc/iscsi/initiatorname.iscsi

KillFilter:

检查命令接受的信号

kill_radvd: KillFilter, root, /usr/sbin/radvd

DnsmasqFilter:

dnsmasq进程相关的检查

dnsmasq: DnsmasqFilter, /usr/sbin/dnsmasq, root


韦远科
关注
【大杂烩】杂7杂8的东西
vickytong1018的博客
10-28 2万+
记录平时工作的内容和体会
rootwrap模块解析以及功能扩展
溜溜小哥
07-28 5590
感谢朋友支持本博客,欢迎共同探讨交流,由于能力和时间有限,错误之处在所难免,欢迎指正!如果转载,请保留作者信息。博客地址:http://blog.youkuaiyun.com/gaoxingnengjisuan邮箱地址:dong.liu@siat.ac.cnPS:因为各方面的原因好久没有写博客了,有时间还是要写一写的!    使用rootwrap的目的就是针对系统某些特定的操作,让非特权用户以root用户的身
2-ipv6服务器之-radvd
Creator_Ly的博客
05-30 2560
对于无状态自动配置的ipv6测试需要搭建radvd服务器,这样在路由器/设备发送RS请求(icmpv6 type133)的时候,radvd服务器就可以返回RA消息(icmpv6 type134),告诉设备全局地址的前缀,设备自己再结合接口ID算出一个可聚集全局单播地址。 1. 安装radvd服务器 登陆http://sources.buildroot.net/radvd/网站下载radvd-2.11.tar.gz 下载后在 Ubuntu上编译安装。 命令如下: 解压: tar –zxvf radvd-2.
【OpenStack】Nova目前的filter及其功能
代码改变世界
07-17 1万+
声明: 本博客欢迎转发,但请保留原作者信息! 新浪微博:@孔令贤HW; 博客地址:http://blog.youkuaiyun.com/lynn_kong 内容系本人学习、研究和总结,如有雷同,实属荣幸! code version: master branch, 2013.07.16 关于filter的抽象逻辑结构和机制,在我之前的博客中有讲到,本篇博客的关注点在于Nova目前提供了哪
OpenStack filter应用(G版)
狂飙的蜗牛
06-04 4091
AggregateInstanceExtraSpecsFilter Filter behavior for native OpenStack 1) Matches properties defined in an instance type's extra specs against admin-defined properties on a host aggregate 2) Custom
docker-nova-compute:使用 openstack nova-compute 构建镜像的 Dockerfile
06-30
nova-api & nova-cert & nova-consoleauth & nova-scheduler & nova-conductor & nova-novncproxy 和镜像都可用,你可以从 hub 拉取。 当然,您可以用替换 mysql-server 。 要启动 mysql-server 和 rabbitmq,您...
openstack-nova-placement-api-17.0.13-1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
openstack-nova-compute-17.0.13-1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
openstack-nova-compute-18.0.2-1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
openstack-nova-placement-api-18.1.0-1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
Wrapper配置详解及高级应用
286
08-07 2068
        将一个简单的程度如HelloWorld 的应用包装秤Wrapper 服务并不复杂,甚至可以认为非常简单。但是实际项目应用过程中我们的程序一般较庞大,运行环境也较复杂。         通过Wrapper 配置文件的分析与配置进一步了解构建Wrapper 服务需要注意的关键点及重要部分。 首先,打开conf 文件夹下的wrapper.conf配置文件,此配置文件时Wrappe...
nova-compute状态一直在up和down切换
翟海飞
03-21 3801
nova-compute状态一直在up和down切换,使用nova service-list查看nova-compute的状态一会是up,一会儿是down原因是:controller节点上的ntp服务器没有启动。重启启动ntp服务后,nova service-list查看nova-compute的状态是up。...
openstack rootwrap详解
m0_37313888的博客
12-11 3419
1.前言 网上关于openstack rootwrap的讲解还是有一些的,只知道是一个控制nova,neutron等普通用户权限的工具。但是这些代码是怎么实现以nova,neutron用户启动的呢? 这个问题我研究了一下,还是要从openstack每一项服务的开机启动脚本看起。先总结一下,openstack 实现nova,neutron普通用户的权限控制的基本方法可以概括为“以普通用户运行,只...
/etc/sudoers配置错误导致的nova-api等异常
Focus on k8s and python
03-03 769
客户反馈dashboard上面 使用异常: 问题一:第一次登陆系统后点击计算资源下的云主机,显示没数据,刷新后显示正常 问题二:不定期出现的问题,点击安全组报“无法获取配额”,而且系统一直转圈,无法显示数据。关掉报错,重新刷新后正常显示数据 问题三:点击虚机,然后弹出报错“无法获取云主机控制台”,关掉然后重新点击虚机后显示正常 问题分析: 1、 首
BugReport-仿微信app
weixin_30849403的博客
05-03 121
1 测试的环境和准备工作 在as上写。 准备工作:(1)百度图片素材(2)学习别人的博客 2 测试的步骤 (1)单元测试:针对软件设计的基本单元——程序模块,进行正确性检验的测试工作。目的在于发现各个模块内部可能存在的各种差错。单元测试需要从程序内部结构出发设计测试用例,多个模块可以平行、独立地进行测试; (2)集成测试:在单元测试的基础上,将所有模块按设计要求集成在一起进行测试,以检验...
openstack物理机nova状态为down的处理方法
热门推荐
崔崇鑫的博客,你linux/云运维工作中的百科全书。
01-01 2万+
文章目录物理机nova状态为down的处理思路说明故障排除思路1、先去web界面查看rabbitMq服务是不是正常的2、查看状态为down的nova服务是否为active,不为active即服务有问题3、不是服务问题(不能ssh过去),则直接去管理口重启物理机即可。 物理机nova状态为down的处理思路 说明 在控制节点上查看所有物理机运行状态,如果有某台为down,先别急着去重启物理机,而是先...
时间不同步导致的nova,cinder服务一会up一会down的来回跳跃
Focus on k8s and python
02-10 1330
               客户反馈无法创建虚拟机(openstack版本为Juno),登录控制节点,发现nova 和cinder服务有为down的,检查down节点的nova和cinder日志,未发现任何日志信息显示error,且日志显示nova和cinder都在正常更新状态,创建虚拟机的请求,nova-schedule未做任何调度,创建的虚拟机状态直接变为error。       多检查几次...
正则表达式解析(二)
qq_54655817的博客
08-12 721
这个正则表达式用于检测文本内容(content)中是否包含至少三个步骤指示符(如中文步数、数字步骤或行首数字点)。它使用函数查找所有匹配的子串。如果匹配到的子串数量(len(...))大于或等于 3,则条件为真。r"(第[一二三四五六七八九十]步|步骤\s*\d|^\s*\d+\.)"。使用了标志,这使得正则表达式中的(行首锚点)能匹配每行的开头,而不仅仅是整个字符串的开头。这个正则表达式用于检测文本内容(content)中是否包含 Markdown 或 HTML 格式的图片链接。它使用。
Java 正则表达式的使用方法
最新发布
Mr_Zhen的博客
08-15 840
本文详细介绍了Java正则表达式的使用方法,包括语法规则、核心类和实战案例。主要内容涵盖:1.基础语法如字符匹配、转义、量词和边界处理;2.分组与零宽断言等高级特性;3.Pattern和Matcher类的核心方法;4.实用案例包括手机号验证、URL提取和HTML清洗;5.性能优化建议,如避免回溯和预编译复用。通过系统学习这些知识,可以有效处理字符串匹配、提取和格式化等常见需求,提升开发效率。
yum 源 openstack-nova-api openstack-nova-conductor openstack-nova-scheduler openstack-nova-novncproxy
05-12
### 安装 OpenStack Nova 组件 可以通过 `yum` 命令来安装 OpenStack Nova相关组件,具体命令如下: ```bash yum -y install openstack-nova-api openstack-nova-conductor openstack-nova-scheduler openstack-nova-novncproxy ``` 此命令将会自动下载并安装所需的依赖项以及指定的服务组件[^1]。 --- ### 配置 OpenStack Nova 服务 完成安装后,需要对这些服务进行必要的配置。以下是主要步骤说明: #### 修改主配置文件 编辑 `/etc/nova/nova.conf` 文件以调整调度器的行为。例如,为了实现定期扫描计算节点的功能,可以在 `[scheduler]` 节下添加以下参数: ```ini [scheduler] discover_hosts_in_cells_interval = 300 ``` 这表示每隔 300 秒(即 5 分钟)扫描一次计算节点中的主机状态[^4]。 保存更改后重启 API 服务以使新配置生效: ```bash systemctl restart openstack-nova-api.service ``` --- ### 启动与设置开机自启 安装完成后,需手动启动各个 Nova 相关服务,并将其设为随系统启动而运行: ```bash systemctl start openstack-nova-api openstack-nova-scheduler openstack-nova-conductor openstack-nova-novncproxy systemctl enable openstack-nova-api openstack-nova-scheduler openstack-nova-conductor openstack-nova-novncproxy ``` 以上操作确保了所有核心服务正常运行并能够在下次系统启动时自动加载[^2]。 --- ### 创建管理接口端点 如果尚未创建 Nova 的管理员服务端点,则可通过以下命令完成初始化工作: ```bash openstack endpoint create --region RegionOne nova admin http://<control_node_ip>:8774/v2.1 ``` 其中 `<control_node_ip>` 应替换为实际的控制器节点 IP 地址。成功执行该命令后,将返回包含字段及其对应值的结果表单,确认端点已正确注册到 Keystone 中[^3]。 --- ### 总结 综上所述,通过 Yum 源安装 OpenStack Nova 组件的过程涉及以下几个方面: 1. 使用 `yum` 工具批量安装所需软件包; 2. 编辑配置文件优化功能选项; 3. 手动激活各子服务并将它们加入系统的引导序列; 4. 注册相应的访问入口至身份验证框架内。 按照上述指导即可顺利完成基础环境搭建任务。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值