About LXC Initial Passwords

Transcript

1. LXC ­ 初期パスワードの話 田向正一 [email protected] 平成26年11月14日(金) 第5回コンテナ型仮想化の情報交換会@大阪

2. 自己紹介 • 田向 正一 (TAMUKI Shoichi) • 某F社勤務。クラウド関係のお仕事 • Plamo

   Linuxメンテナ • LXCの開発に少々関わっています • vi愛用してます！ 01

3. コンテナの初期パスワード • lxc­createコマンドでコンテナを作成 – LXCの開発当初は，利用者数が比較的少なかったこともあ り，この仕様に異論を唱える人は，あまりいなかったように 思える 02 openSUSEコンテナ (root:root)

   openSUSEコンテナ (root:root) Plamoコンテナ (root:root) Plamoコンテナ (root:root) Ubuntuコンテナ (ubuntu:ubuntu) Ubuntuコンテナ (ubuntu:ubuntu)

4. 牧歌的な状況の終焉 • Ubuntu14.04 LTSがリリース • 各ディストリビューションでのLXCの正式採用 • 利用者数が急速に増えていった • コンテナの初期パスワードに対する指摘が，

   定期的にlxc­devel MLに投稿されるようになった 03

5. Debian Bug report logs ­ #758643 04

6. Red Hat Bugzilla ­ Bug 1132001 05

7. lxc­devel MLでの動き • Michael H. Warfieldさん：解決に向けて 精力的に活動 • テンプレート内でパスワード設定 –

   ランダム文字列による設定 – パスワード入力による設定 – パスワードの期限切れ化 – アカウントの無効化 • さまざまな状況に対応できる共通関数を作成 – まず，FedoraテンプレートとCentOSテンプレートに適用 – 順次，他のテンプレートへの適用を目指している(｀・ω・´) 06

8. Michael H. Warfieldさんの方法 • root権限で通常のテンプレートを使って作成したコンテナ環境 ⇒効果を発揮 – テンプレートによってユーザアカウントの考え方が違うから， 共通関数にするのはどうかと思うけど •

   一般ユーザ権限でDLテンプレートを使って作成したコンテナ環境 ⇒いまいち – パスワード設定済みのコンテナイメージをダウンロードする ので，毎回同じパスワードになってしまう • Michael H. Warfieldさん曰く，非特権コンテナは自分の 領域ではない(´・ω・`) 07

9. 別のアプローチ • Michael H. Warfieldさんが適用を目指して いる初期パスワードの設定を，テンプレー ト内ではなく，テンプレート実行直後に行う ように提案 • root権限で通常のテンプレートを使って作成したコンテナ環境

   • 一般ユーザ権限でDLテンプレートを使って作成したコンテナ環境 ⇒同等の効果を発揮 • 最終的にどうなるか，まだ着地点は見えていない 08

10. Stéphane Graberさん：今々考えていること • 作成済みコンテナイメージのパスワードの 一律無効化 • DLテンプレートを拡張 – いくつか残っている通常テンプレートの適用例を カバー

    • 多分いつか，そのテンプレートをメインのLXCソースツ リーから追い出す • LXC標準のテンプレートで非特権コンテナを作成でき るか？ 09

11. まとめ • いずれにしても，将来の方向性はこれから議論を重ね ることによって定まってくるでしょうから，これからの動 向を注意深く見守っていきたいと思います。 10

12. ご清聴ありがとうございました 11