OSSN/OSSN-0058

Cinder LVMISCIDriver 允许未经身份验证的卷挂载

在使用 Cinder 的 LVMISCSIDriver 时，tgtadm 配置文件中的 CHAP 身份验证凭据格式不正确。这导致操作员预期只有在提供身份验证凭据时才能挂载卷，但实际上无需凭据即可挂载。

Cinder, Icehouse

当请求基于 LVMISCSIDriver 的卷使用 CHAP 身份验证协议时，Cinder 会将身份验证凭据添加到 tgtadm 应用程序的配置文件中。在 Cinder 的 Juno 之前的版本中，这些凭据的键名不正确。此不正确的键名将导致 tgtadm 无法正确解析这些凭据。

由于存在不正确的凭据，tgtadm 在 Cinder 请求时将无法验证卷挂载。通过配置文件设置凭据失败也会允许未经身份验证地访问这些卷。这可能允许位于与卷相同网络上的实例在未向 tgtadm 应用程序提供凭据的情况下挂载它们。

可以通过显示与卷关联的帐户来确认此行为。对于已启用身份验证的卷，您将在 tgtadm 应用程序的输出中看到一个列出的帐户。 Cinder 创建的帐户名称将随机生成，并显示为 20 个字符的字符串。要打印卷的信息，可以在附加了卷的节点上运行以下命令

   # tgtadm --lld iscsi --op show --mode target

用户名将在 `Account information:` 部分中找到。

如果可能，应将 Cinder 更新到 Juno 版本或更高版本。如果这不可行，则以下指导将有助于缓解对受影响节点的非预期流量。

1. 识别将暴露使用 LVMISCSIDriver 的 Cinder 卷的节点以及需要附加这些卷的节点。

2. 在暴露卷的节点上实施安全组端口规则或 iptables 规则，仅允许来自需要附加卷的节点的 3260 端口的流量。