OpenStack 全节点扫描的漏洞结果及解决方案

Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件, 使用Nessus对OpenStack环境进行安全漏洞的扫描，发现了以下几个安全隐患，下面是针对性的解决方法，仅供参考

• HTTP 漏洞
• SSH安全漏洞
• mDNS漏洞
• VNC认证漏洞
• SSL相关漏洞

HTTP 漏洞

漏洞名：

• MEDIUM：HTTP TRACE / TRACK Methods Allowed

问题描述：

• HTTP服务中允许了 TRACE/TRACK 方法

解决方法：

在 Apache2 的配置文件 httpd.conf 末尾，加入 TraceEnable Off ：

TraceEnable Off

重启httpd服务：

service httpd restart

SSH安全漏洞

漏洞名：

• Medium:SSH Weak Algorithms Supported
• Low: SSH Server CBC Mode Ciphers Enabled
• Low: SSH Weak MAC Algorithms Enabled

问题描述：

• SSH的加密方面使用了安全性较弱的配置。这三个漏洞都是针对SSH安全性的，如下解决即可。

解决方案：

修改：/etc/ssh/sshd_config ,增加：

Ciphers aes128-ctr,aes192-ctr,aes256-ctr

MACs hmac-sha1,hmac-ripemd160 

重启服务：

/bin/systemctl restart  sshd.service

mDNS漏洞

漏洞名：

• Medium: mDNS Detection (Remote Network)

问题描述：

• 服务器开启了 mDNS 服务，而这个服务允许局域网其他用户可以获取一些额外的信息（如hostname，机器配置等）

解决方案：

关闭mDNS服务

service avahi-daemon stop        #停止avahi-daemon服务
chkconfig avahi-daemon off       #防止avahi-daemon开机再次运行

VNC认证漏洞

漏洞名：

• High: VNC Server Unauthenticated Access
• High: VNC Server Unauthenticated Access: Screenshot

问题描述：

• 由于OpenStack 的VNC服务开启，允许了无授权访问，因此有隐患

解决方案：

除了Controller节点以外，阻止其他任何IP访问VNC的相应服务端口，修改所有计算节点的iptables：

注释掉下面entry：

#-A INPUT -p tcp -m tcp --dport 5900:5999 -j ACCEPT

添加如下几条：

-A INPUT -s 172.35.0.103/32 -p tcp -m multiport --dports 5900:5999 -m comment --comment "001 nova compute incoming nova_compute" -j ACCEPT

-A INPUT -s 172.35.0.104/32 -p tcp -m multiport --dports 5900:5999 -m comment --comment "001 nova compute incoming nova_compute" -j ACCEPT

-A INPUT -p tcp -m tcp --dport 5900:5999 -j REJECT

SSL相关漏洞

漏洞名：

• Medium: SSL Certificate Cannot Be Trusted
• Medium: SSL Self-Signed Certificate
• Medium: SSL Medium Strength Cipher Suites Supported
• Medium: SSL 64-bit Block Size Cipher Suites Supported (SWEET32)

问题描述：

• 该漏洞见于控制节点
• 原因是pcsd 服务允许了不安全的SSL连接

解决方案：

关闭pcsd服务，在所有控制节点执行以下命令：

systemctl stop pscd.service
systemctl disable pscd.service