2. 程式人生 > >玩轉KVM:TLS安全登錄

玩轉KVM:TLS安全登錄

阿新 發佈:2019-04-28
server 重新 alt 順序 ins sasl 請求 重啟 正常

下面來講講KVM的安全知識,TLS?有什麽用?

libvirt怎麽遠程?

說TLS安全連接之前,我們需要先聊一下怎麽可以遠程管理KVM。 目前vmware, xen, kvm, lxc等都支持libvirt, libvirt的強大,然後根本不需要考慮怎麽遠程的問題。我們只需要考慮怎麽更好地遠程管理它。
技術分享圖片

TLS配置實踐

簡單的邏輯圖:
技術分享圖片

管理證書服務器

創建臨時目錄,以將文件和更改保存到其中
mkdir /opt/cert_files
cd cert_files/

使用 openssl 命令創建 2048 位 RSA 密鑰
openssl genrsa -out cakey.pem 2048

使用該密鑰針對本地 CA 創建自簽名證書


這裏參數: 按需修改:/C=CN/L=GDFS/O=EFLY/CN=KVM CA

字段如下:
技術分享圖片
技術分享圖片

檢查 CA 證書
openssl x509 -noout -text -in cacert.pem

##client, server
創建密鑰
openssl genrsa -out serverkey.pem 2048
openssl genrsa -out clientkey.pem 2048

為服務器創建證書簽名請求
openssl req -new -key serverkey.pem -out serverkey.csr \
-subj "/C=CN/O=EFLY/CN=${KVM}/dns_name=${KVM}/ip_addres={IP}"

可以使用配置文件形式實現 server.info:
技術分享圖片
技術分享圖片
openssl req -new -key serverkey.pem -out serverkey.csr \
-config server.info
為客戶機創建證書簽名請求
openssl req -new -key clientkey.pem -out clientkey.csr \
-subj "/C=CN/O=EFLY/OU=virtualization/CN=root"

創建客戶機和服務器證書
openssl x509 -req -days 3650 -in clientkey.csr -CA cacert.pem -CAkey cakey.pem \

-set_serial 1 -out clientcert.pem
openssl x509 -req -days 3650 -in serverkey.csr -CA cacert.pem -CAkey cakey.pem \
-set_serial 94345 -out servercert.pem

檢查密鑰
openssl rsa -noout -text -in clientkey.pem
openssl rsa -noout -text -in serverkey.pem

檢查證書
openssl x509 -noout -text -in clientcert.pem
openssl x509 -noout -text -in servercert.pem

路徑說明:
技術分享圖片

服務端(所有KVM角色)

mkdir -p /etc/pki/CA
將認證中心 (CA) 證書 cacert.pem 文件復制到 /etc/pki/CA/cacert.pem
scp [proxy_ip]:/opt/cert_files/cacert.pem /etc/pki/CA/cacert.pem

創建 /etc/pki/libvirt 目錄。將 servercert.pem 服務器證書文件復制到 /etc/pki/libvirt/servercert.pem。創建 /etc/pki/libvirt/private 目錄。將 serverkey.pem 服務器密鑰文件復制到 /etc/pki/libvirt/private/serverkey.pem 目錄。確保只有 root 用戶才能夠訪問專用密鑰。

mkdir /etc/pki/libvirt
scp [proxy_ip]:/opt/cert_files/servercert.pem /etc/pki/libvirt/.
mkdir /etc/pki/libvirt/private
scp [proxy_ip]:/opt/cert_files/serverkey.pem /etc/pki/libvirt/private/.
chmod -R o-rwx /etc/pki/libvirt/private

驗證這些文件是否已正確放置
find /etc/pki/CA/*|xargs ls -l
ls -lR /etc/pki/libvirt

##配置libvirt
生成 /etc/default/libvirtd 文件和 /etc/libvirt/libvirtd.conf 文件的副本。
編輯 /etc/default/libvirtd 文件
## Start libvirtd to handle qemu/kvm:
start_libvirtd="yes"

## options passed to libvirtd, add "-l" to listen on tcp
修改前

  • libvirtd_opts=""
    修改後
  • libvirtd_opts="-l"

編輯 /etc/libvirt/libvirtd.conf 文件,並在 libvirtd.conf 文件中使用 tls_allowed_dn_list 偽指令配置一組允許的主題。以下示例顯示原始文件中的更改。它將可接受的客戶機證書限制為具有 O=IBM,OU=virtualization 值的證書,而系統可能會對國家或地區 (C) 和公共名 (CN) 分配任何值。主題中字段的順序必須與您創建證書時使用的順序相同。
技術分享圖片

重新啟動 libvirtd 守護程序服務,以使更改生效
# /etc/init.d/libvirtd restart
Stopping libvirtd daemon: [ OK ]
Starting libvirtd daemon: [ OK ]

客戶端(KVM-API-118)

將認證中心 (CA) 證書 cacert.pem 從 PowerKVM 主機復制到管理站 /etc/pki/CA/ 目錄。請勿變更文件名。
scp [proxy_ip]:/opt/cert_files/cacert.pem /etc/pki/CA/

將客戶機證書 clientcert.pem 復制到 /etc/pki/libvirt/ 目錄,並將客戶機密鑰 clientkey.pem 從 PowerKVM 主機復制到 /etc/pki/libvirt/private/ 目錄。使用缺省文件名稱,並確保只有 root 用戶才能夠訪問專用密鑰。

mkdir -p /etc/pki/libvirt/
scp [proxy_ip]:/opt/cert_files/clientcert.pem /etc/pki/libvirt/.
mkdir /etc/pki/libvirt/private
scp [proxy_ip]:/opt/cert_files/clientkey.pem /etc/pki/libvirt/private/.
chmod -R o-rwx /etc/pki/libvirt/private

驗證這些文件是否已正確放置
ls -lR /etc/pki/libvirt/

角色機需要安裝:
yum -y install cyrus-sasl-md5

設置代理(VNC角色)

可以使用nginx 或者 haproxy等工具
##如haproxy
apt-get install haproxy

##每一臺VM都需要做一個端口代理, 端口號:165+KVM服務器的ip位數
vim /etc/haproxy/haproxy.cfg

listen kvm-proxy-ip位數
bind 0.0.0.0:165ip位數
mode tcp
use_backend kvm-tls-ip位數
backend kvm-tls-ip位數
mode tcp
server kvm-tls-35 10.10.10.35:16514 -一定是16514


listen kvm-proxy-35
bind 0.0.0.0:16535
mode tcp
use_backend kvm-tls-35
backend kvm-tls-35
mode tcp
server kvm-tls-35 10.10.10.35:16514 -一定是16514

##啟動haproxy
service haproxy restart

##驗證連通
[email protected]:~# virsh -c qemu+tls://KVM_PROXY:16515/system hostname
ubuntu-kvm35

返回正常, 則完成遠程

Sasl認證(所有KVM角色)

(1)libvirt sasl配置在/etc/sasl2/libvirt.conf,Tls是tcp的加密傳輸協議,所以mech_list:需要設置成digest-md5。

vim /etc/sasl2/libvirt.conf

  • 修改前, + 修改後
    技術分享圖片

(2)創建用戶
[email protected]:/etc/libvirt# saslpasswd2 -a libvirt efly
Ps: 密碼 [email protected]#123
技術分享圖片

(3)指定密碼庫
[email protected]:/etc/sasl2# sasldblistusers2 -f /etc/libvirt/passwd.db
技術分享圖片

(4)修改libvirtd.conf
修改 /etc/libvirt/libvirtd.conf
技術分享圖片

(5)重啟libvirtd
systemctl restart libvirtd

(6)測試連接
[email protected]:~# virsh -c qemu+tls://PROXY:16515/system hostname
技術分享圖片
技術分享圖片

玩轉KVM:TLS安全登錄

相關推薦

KVMTLS安全

server 重新 alt 順序 ins sasl 請求 重啟 正常 下面來講講KVM的安全知識,TLS?有什麽用? libvirt怎麽遠程? 說TLS安全連接之前,我們需要先聊一下怎麽可以遠程管理KVM。 目前vmware, xen, kvm, lxc等都支持libvir

KVM一招完成vm在線遷移

移動 fec word list linux 系統 光纖 通道 tfs mail 下篇預告: 玩轉KVM:淺談虛擬機lifecycle 前言 上篇一招打開vm的console口,讓你輕輕松松管理vm。下面講虛擬機是如何在kvm集群中來去自如。 為什麽要遷移 遷移描述了將虛擬

C# Tips獲得當前計算機的用戶(本地用戶/域用戶)

track hit sharp pos uri 是否 art tip white 須要using的namespace: using System.Security.Principal; 獲得登錄計算機的用戶: WindowsIdentity win

Linux服務器安全設置

pool this 一個 html format 通過 spool 監聽 多個 在日常運維工作中,對加固服務器的安全設置是一個機器重要的環境。比較推薦的做法是:1)嚴格限制ssh登陸(參考:Linux系統下的ssh使用(依據個人經驗總結)): 修改ssh默認監聽端口

Servlet學習(三)——實例用戶並記錄登陸次數

插入 and 個數 servlet配置 esc post cep 事務提交 pla 1、前提:在Mysql數據庫下建立數據庫web13,在web13下創建一張表user,插入幾條數據如下: 2、創建HTML文件,命名為login,作為登錄界面(以post方式提交)

SSH原理與運用(一)遠程

獲得 回車 you 密碼登錄 很難 windows 註釋 設備 範圍 SSH是每一臺Linux電腦的標準配置。 隨著Linux設備從電腦逐漸擴展到手機、外設和家用電器,SSH的使用範圍也越來越廣。不僅程序員離不開它,很多普通用戶也每天使用。 SSH具備多種功能,可以用於很多

Servlet案例1用戶

per mon throws ack nec sorry enc rim his 數據庫準備: CREATE DATABASE web; USE web; CREATE TABLE users( id INT PRIMARY KEY AUTO_INCREMENT

6、Django實戰第6天用戶

pla 後臺 127.0.0.1 rtc user bubuko htm div eth 今天開始,我們需要來寫後臺邏輯了.... 後臺邏輯代碼都是編寫在views.py文件裏面,今天要完成的登錄功能,因此來編輯users.views.py 這裏我們根據請求方法來

NO.001安裝、CENTOS / 1.1學習之初

Linux1、定位:學習Linux的目的是:就業。 學習後的職業選擇:運維。 就業選擇的城市是:北京。 2、目標:何時學完:40天,4月16 -- -- 5月26日。 起步薪資:1.0 W -- 1.2 W

Bitnami 本地安全 Mysql 數據庫 phpmyadmin 控制臺

login ati ica OS 分享 nbsp port then data- 1.下載PuTTY,解壓運行;2.配置PuTTY:Session->HostName(輸入主機IP,端口22)->SavedSession(隨便起個名字,如:abc123)->

單點與權限管理本質單點介紹

單點登錄繼續介紹「單點登錄與權限管理」系列的第一部分:單點登錄與權限管理本質,前兩篇介紹了session與cookie 和 HTTP重定向 ,有了他們,瀏覽器就可以在多個系統間自動交互,實現自動登錄。 本篇介紹下單點登錄,所謂單點登錄,就是說用戶只需在一個地方登錄,訪問其他相關系統時,不需要重復登錄,隱式地自

Python學習筆記1用戶

\n win col lines %s courier class for ID 1 import getpass,sys 2 u=0 3 while u< 3: 4 user_name = input(‘Please input you

淺談架構之路單點 SSO

用戶體驗 們的 建設 驗證機制 一個 簡單的 用戶登錄 集中 不同 前言:SSO 單點登錄   “半吊子”的全棧工程師又來了,技術類的文章才發表了兩篇,本來想先將主攻的幾個系列都開個頭(Nodejs、Java、前端、架構、全棧等等),無奈博客起步太晚,寫博文的時間又沒有很多

Django用戶實例

www. ima red gin urn 如果 wid nta tex Django:用戶登錄實例 一、源代碼 1,login.html代碼(登錄界面): <!DOCTYPE html> <html lang="zh-CN"> <head

Flask實戰第45天完成前臺界面

ext tel 分享 title ron extends end 登錄頁面 captcha 我們的註冊頁面和登錄頁面有很多相似之處,因此,也可以基於一個模板來實現。 首先創建一個模板html,命名為front_signbase.html, 然後修改註冊頁面front

華為設備安全SSH配置方法

oca telnet ace 22端口 認證方式 shell 權限 ans 設備安全 原理:由於Telnet缺少安全的認證方式,而且傳輸過程采用TCP進行明文傳輸,存在很大的安全隱患,單純的提供Telnet服務容易招致主機ip地址欺騙,路由欺騙等。1.1 Stelnet

python01作業思路用戶程序

是否 active 登錄程序 pre utf-8 pen 文件信息 計數 pla 一、基礎需求:   讓用戶輸入用戶名密碼  認證成功後顯示歡迎信息  輸錯三次後退出程序   作為長期從事運維工作的我來說,學習全棧開發是一個巨大的挑戰。看到一些大神寫的代碼不僅寫的代碼長,

手把手教你如何外掛分頁外掛(Pagehelper)

情景引入:小白:起床起床,,,快起床!!!我:怎麼怎麼了,小白你到底又怎麼了。。小白:我發現在Web系統中,分頁是一種很常見的功能,可是,我之前寫的方法都比較麻煩,移植性不是很高,有沒有什麼好辦法可以快速實現分頁的呢?我:確實是的,分頁功能幾乎在每個系統中都是存在的,它的實現

Linux學習Linux過程中遇到的各種問題和小技巧(每天更新)

目錄: 0.常用指令(最常更新) 1.虛擬機器無法聯網 解決辦法: ①開啟“計算機管理”頁面 ②選擇“服務和應用程式” ③選擇“服務” ④啟動“VMware DHCP Service”和“VMware NAT Serv

springboot預設靜態資源和自定義靜態資源實戰

在web開發中,靜態資源的訪問是必不可少的,如:圖片、js、css 等資源的訪問。 spring Boot 對靜態資源訪問提供了很好的支援,基本使用預設配置就能滿足開發需求 一、預設靜態資源對映 Spring Boot 對靜態資源對映提供了預設配置