国内云服务的安全问题
最近在 aliyun 上新开了一个 centos7.2 的服务器,改完 hostname ,发现重启后还会变回去。研究了一下,发现是 cloud-init 在每次开机时都会改一下 hostname ,禁止这个服务,重启,成功,于是有感。
通过查资料发现,在创建云主机的时候是通过 cloud-init 注入密码,密钥,进行一些初始化的配置(看过 nova 代码,发现 kvm 底层就可以注入密码了,不用在虚拟机里添加其它服务)。
然而不仅仅是这些,在研究弹性伸缩的时候发现远程还可以通过 cloud-init 执行脚本!!这不是等于留了一个很大的后门给云服务商吗?细思极恐。
以前用阿里的服务器, rc.local 里有好些开机运行的脚本,最近开的这台虽然没有了,但是通过 systemctl 看到还是有阿里和一些不知道干什么的服务。
监控和安全这些功能,完全可以在虚拟机外部而不用给虚拟机预装服务就可以实现,有时候,我们只需要一个干净的,而不是通过被预装了 xx 服务的镜像来创建的服务器。然而,国内的服务商好像普遍都没有用户上传自定义镜像来创建服务器的功能,目前就知道国外的 vultr 可以。
楼主云计算专业还没毕业,以上个人见解。
对于云服务器后门,大家有什么看法。顺便请推荐国内哪家可以上传自定义镜像来创建服务器。
通过查资料发现,在创建云主机的时候是通过 cloud-init 注入密码,密钥,进行一些初始化的配置(看过 nova 代码,发现 kvm 底层就可以注入密码了,不用在虚拟机里添加其它服务)。
然而不仅仅是这些,在研究弹性伸缩的时候发现远程还可以通过 cloud-init 执行脚本!!这不是等于留了一个很大的后门给云服务商吗?细思极恐。
以前用阿里的服务器, rc.local 里有好些开机运行的脚本,最近开的这台虽然没有了,但是通过 systemctl 看到还是有阿里和一些不知道干什么的服务。
监控和安全这些功能,完全可以在虚拟机外部而不用给虚拟机预装服务就可以实现,有时候,我们只需要一个干净的,而不是通过被预装了 xx 服务的镜像来创建的服务器。然而,国内的服务商好像普遍都没有用户上传自定义镜像来创建服务器的功能,目前就知道国外的 vultr 可以。
楼主云计算专业还没毕业,以上个人见解。
对于云服务器后门,大家有什么看法。顺便请推荐国内哪家可以上传自定义镜像来创建服务器。
本文由 vps网友提供,转载请注明出处
本文链接: https://www.vpsvsvps.com/discuss/a/1676471790706102272.html
