国内云服务的安全问题

2016-12-03 18:39:37 +08:00
 chohoor
最近在 aliyun 上新开了一个 centos7.2 的服务器,改完 hostname ,发现重启后还会变回去。研究了一下,发现是 cloud-init 在每次开机时都会改一下 hostname ,禁止这个服务,重启,成功,于是有感。

通过查资料发现,在创建云主机的时候是通过 cloud-init 注入密码,密钥,进行一些初始化的配置(看过 nova 代码,发现 kvm 底层就可以注入密码了,不用在虚拟机里添加其它服务)。

然而不仅仅是这些,在研究弹性伸缩的时候发现远程还可以通过 cloud-init 执行脚本!!这不是等于留了一个很大的后门给云服务商吗?细思极恐。

以前用阿里的服务器, rc.local 里有好些开机运行的脚本,最近开的这台虽然没有了,但是通过 systemctl 看到还是有阿里和一些不知道干什么的服务。

监控和安全这些功能,完全可以在虚拟机外部而不用给虚拟机预装服务就可以实现,有时候,我们只需要一个干净的,而不是通过被预装了 xx 服务的镜像来创建的服务器。然而,国内的服务商好像普遍都没有用户上传自定义镜像来创建服务器的功能,目前就知道国外的 vultr 可以。

楼主云计算专业还没毕业,以上个人见解。
对于云服务器后门,大家有什么看法。顺便请推荐国内哪家可以上传自定义镜像来创建服务器。
7895 次点击
所在节点    云计算
71 条回复
tempdban
2016-12-04 14:31:36 +08:00
@9hills 哪句不动我可以负责解释。
9hills
2016-12-04 14:32:54 +08:00
@tempdban
< 这种东西不是看了文档,看了几行代码就是懂了会了,要动手。

完美自打脸,其实你试试就知道,虽然文档上说不支持 QCOW2 ,但是其实是能用的。。。只是没有 cow 之类的特性了,效率很差,但是效率很差也不是不能用
9hills
2016-12-04 14:34:08 +08:00
@tempdban 也来给你贴个文档
Important The raw data format is really the only sensible format option to use with RBD. Technically, you could use other QEMU-supported formats (such as qcow2 or vmdk), but doing so would add additional overhead, and would also render the volume unsafe for virtual machine live migration when caching (see below) is enabled.

那句不动(不懂?)我可以负责解释
tempdban
2016-12-04 15:26:50 +08:00
@9hills 好,我错了,我打脸
kfll
2016-12-04 16:50:07 +08:00
阿里的 cloudinit 是改过的,主要支持了他自己的 datasource 。 py 的代码大家都可以看到。

我拿阿里云和 vultr 的 ubuntu 系统换了 dns , apt 源( archive )更新了所有包,对比了 /bin /usr/bin /sbin /usr/sbin 中两者都存在的文件,有几个跟磁盘相关的文件对不上(没怎么考虑,可能是 archive 解析到不同镜像了,没记下来)
billwang
2016-12-04 17:06:54 +08:00
其实,你就是在服务商那里买一台实体机器也不安全,网络、服务器都在人家手里,人家想干啥都行。你远程那里有人家在机房操作来的权限大。所以,要么自己在单位搭建服务器,要么就忍了吧。
tcsky
2016-12-04 17:19:32 +08:00
并不是所有人都不需要该服务, 就如许多个人及外包公司, 这些用户根本不关心或没能力解决最简单的安全问题,你没见到网上好多一键安装包许多人用么, 有些默认密码都不知道改的, 你可以是试试扫下阿里云的网段, 现在不清楚, 但之前确实扫出来一堆机器. 阿里云提供的选项省心省力。而且能避免出现小问题就转客服.

至于真的关心到数据安全的公司都有专业运维会处理的
vultr
2016-12-04 17:29:48 +08:00
@hanmiao 用还是可以用的,我想说的是,多一些人从技术上关注阿里云的问题,无论对用户还是阿里云自己都是好事情,只有这样它才有进步的动力,而我们会得到更好的阿里云服务。
kaneg
2016-12-04 17:39:55 +08:00
既然选择了云服务,就得接受这种客观现状,我们能做的只有自己把系统的安全搞好。否则,网盘,微信,短信,电话,任何一个运营商都可以轻而易举的窥探你的数据,我们能因噎废食吗?
goodryb
2016-12-04 20:10:50 +08:00
楼主这地图炮,总想搞个大新闻
lshero
2016-12-04 22:40:09 +08:00
西部数码可以自己上传 ISO 不过需要加钱....
chohoor
2016-12-04 22:47:24 +08:00
@tempdban
@9hills
我再回去看看代码……
chohoor
2016-12-04 22:57:13 +08:00
@kfll
@billwang
@tcsky
@kaneg
就目前来看云安全是普遍存在的问题,并不是说来自外部的攻击,而是内部的权限太大,服务商给你提供更多服务的同时也会需要更多的权限。除非不用,否则通过预装服务,挂载磁盘, vnc ,网络监控等还是能看到隐私的信息。并不是说自己有什么隐私怕被偷窥,一般有道德的云服务商也不会这么干。只是自己的云服务器留个后门总觉得不舒服……
chohoor
2016-12-04 23:00:13 +08:00
@goodryb 不想搞大新闻,只是因为改不了 hostname 这件小事从而对云安全有感……
azuis
2016-12-04 23:23:39 +08:00
@chohoor 你都用云服务了服务商权限当然会比用户高。这是不可避免的。如果在意这些问题可以用私有云或者自建机房。
xcai
2016-12-05 07:51:44 +08:00
@chohoor 你是怎么修改主机名的?
ratazzi
2016-12-05 08:31:42 +08:00
阿里云香港开了台服务器,直接给装了 java 的服务,内存直接少掉几百 M
setonfocus
2016-12-05 08:48:30 +08:00
@chohoor 我上个月初开的 vultr 东京节点,还是绕道美国的。你什么时候开的?
finian
2016-12-05 09:21:59 +08:00
@chohoor 阿里云的 CentOS 修改主机名重启后失效这个 bug 这么长时间了还没修复。。。当时提工单说暂时可以先用 OpenAPI 修改
darkbill
2016-12-05 10:09:08 +08:00
话说,有没有什么关于青云和 UCloud 的爆料?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/325064

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX