关于Openstack配置文件中明文密码解决方法讨论

         当前Openstack各个组件访问数据库，MQ都需要在配置文件中写入明文密码以保证运行过程中能够正确建立连接和相关操作。但明文密码在安全方面是一大挑战。         如果想以最小的代价对配置文件中的明文密码加密并在运行过程中对密码进行解密该怎么做呢？以nova为例需要涉及到哪些模块的与那代码文件更改呢？

openstack有提供的加密机制
通过配置，就可以实现了。
参考这个：
OpenStack企业级应用：密码等通信实现SSL 加密

desehawk 发表于 2015-3-1 11:31
openstack有提供的加密机制
通过配置，就可以实现了。
参考这个：

多谢指导！但你说的应该只是计算，存储，网络以及keystone，glance等组件间通过endpoint访问时利用ssl加密解决办法。

目前我最主要的问题是在nova控制节点的配置文件/etc/nova/nova.conf中会配置数据库连接和mq连接，一定会涉及到数据库访问密码和MQ放密码配置，如下：

[database]

# The SQLAlchemy connection string used to connect to the database

connection = mysql://nova:NOVA_DBPASS@controller/nova

如下MQ配置：

rpc_backend = nova.rpc.impl_kombu

rabbit_host = controller

rabbit_password = RABBIT_PASS

当前都是配置的明文密码，这个该如何去加密和解密，不知道Openstack本身是否有提供解决方案？或者有什么好的思路吗？

非常感谢！

victorye81 发表于 2015-3-1 23:09
多谢指导！但你说的应该只是计算，存储，网络以及keystone，glance等组件间通过endpoint访问时利用ssl加 ...

ssl加密属于策略级别用户名和密码的加密，这个属于技术级别
如果想加密的话，只需要对字符串简单的处理即可。
openstack并不会使用用户名和密码去申请资源等，而是采用token的方式。
更多可以了解下keystone

Keystone, Openstack之魂

零基础学习openstack【完整中级篇】及openstack资源汇总

victorye81 发表于 2015-3-1 23:09
多谢指导！但你说的应该只是计算，存储，网络以及keystone，glance等组件间通过endpoint访问时利用ssl加 ...

目前没有发现openstack对这个加密，不过这个很简单，就是一个加密，放到数据库，然后密码对比的时候，在反解析就可以了比如
密码123  都进行+1处理，变成234了。
在提取的时候，实际提取的是234，然后-1变成123就好了。
不过这样没有太大的用处。
楼主接触编程时间长了，自然理解也就加深了

desehawk 发表于 2015-3-2 07:56
目前没有发现openstack对这个加密，不过这个很简单，就是一个加密，放到数据库，然后密码对比的时候，在 ...

没错，这个加解密的算法是挺简单的，甚至有些成熟的算法可以直接拿来用。
我想搞清楚的是找到在Openstack哪些模块的哪些源码文件中做加解密处理。
非常感谢！

pig2 发表于 2015-3-2 00:02
ssl加密属于策略级别用户名和密码的加密，这个属于技术级别
如果想加密的话，只需要对字符串简单的处理即 ...

非常感谢！我研究研究