МААС: отключить iSCSI или потребовать аутентификации?
Мы используем МААС для управления нашим кластером. Nessus жалуется, что наш контроллер региона МААСА небезопасен, потому что он выставляет цели iSCSI на своем общедоступном IP без аутентификации. Вот то, что заявляет Nessus:
3260/tcp
51368 - iSCSI Unauthenticated Target Detection
The following iSCSI targets allow unauthenticated access :
-iqn.2004-05.com.ubuntu:maas:ephemeral-ubuntu-amd64-hwe-x-xenial-release
-iqn.2004-05.com.ubuntu:maas:ephemeral-ubuntu-amd64-hwe-x-trusty-release
...
Существует ли способ отключить поддержку iSCSI (я полагаю, что мы не используем его), или защитите эти цели? Другая опция состояла бы в том, чтобы сделать, чтобы они послушали на внутреннем IP ведущего устройства только, а не общедоступном. Это сделало бы их видимыми к кластерным машинам, но невидимыми для общественности.
2 ответа
МААС использует цели ISCSI для эфемерной начальной загрузки Ubuntu. Эфемерная начальная загрузка Ubuntu сделана, когда машина включается в список, вводится в эксплуатацию, развертывается, и стертый диск. Удаление этих целей заставит МААС повреждать и предотвращать развертывание машины.
можно или изменить tgt для слушания только на IP-адресе что использование машин, чтобы говорить с МААСОМ или блоком tgt порты на открытом интерфейсе с iptables.
команда targetcli даст Вам текст базирующийся gui, который делает действительно легким создать, перезапустить, обновить и удалить цели iscsi.
для установки его
sudo apt-get install targetcli
для выполнения его
sudo targetcli
- тип ls для наблюдения, что предназначается для Вас, определил.
- тип cd для перемещения вверх и вниз по дереву
- тип удаляют ПУТЬ, чтобы удалить объекты в ПУТИ или опустить ПУТЬ для удаления всех на текущем уровне.
- справка типа для наблюдения списка команд
- выход типа для выхода