iSCSI在授权访问和安全管理方面的相关设定

&">nbsp;   在上一节中介绍了如何搭建一个简单的iSCSI网络存储系统。iSCSI Initiator的客户端主机可以任意连接和使用iSCSI Target共享的所有磁盘和分区,而在很多时候,通过授权认证连接共享磁盘或分区是必须的,例如,只允许客户端主机A连接Target共享出来的磁盘分区一,而客户端主机B只允许连接Target共享的磁盘分区二等。在这种情况下,就需要在iSCSI target主机上进行授权设定。

iSCSI在授权访问和安全管理方面很有优势,它能够以主机为基础,也就是以IP地址为基础来设定允许或拒绝存取;也可以通过账户密码认证来设定允许或拒绝存取。

下面通过一个应用实例来介绍iSCSI授权获取磁盘资源的方法。

一个PC构架的iSCSI Target服务器,共享的硬盘标识为/dev/sdc,大小为10GB。

将此硬盘划分了两个分区/dev/sdcl和/dev/sdc2,将/dev/sdc1共享给一个IP地址为192.168.12.136的Windows客户端主机.将/dev/sdc2共享给一个IP地址为192.168.12.26的Linux客户端主机,iSCSI Target服务器的IP地址为192.168.12.246。接下来通过IP认证和账户密码认证两种方式来介绍如何实现这种需求。

Initiator主机以IP认证方式获取iSCSI Target资源

此种方式配置非常简单,只需在iSCSI Target服务器上修改两个文件即可。先在iscsitarget主目录/etc/iet下找到ietd.conf文件,然后添加如下内容:

Target iqn.2000-04.net.ixdba:sdc1
    Lun O Path=/dev/sdc1, Type=fileio
    Target iqn.2002-04.net.ixdba:sdc2
    Lun o Path=/dev/sdc2, Type=fileio

在ietd.conf文件中,定义了两个Target,为每个Target分别添加了对应的磁盘分区。接着修改/etc/iet/initiators.allow文件,这个文件定义了Initiator主机对Target服务器的访问规则,作用类似于Linux操作系统中的/etc/hosts.allow丈件。修改后的initiators.allow文件内容如下:

iqn.2000-04.net.ixdba:sdc1 192.168.12.136
    iqn.2002-04.net.ixdba:sdc2 192.168.12.26

修改完成,重启iscsi-target服务,操作如下:

[root@iscsi-target iet] # service iscsi-target  restart
Stopping iSCSI Target:    [  OK  ]
Starting iSCSI Target :    [  OK  ]

接着,在IP地址为192.168.12.26的Linux Initiator主机上执行如下操作:

[root@ Initiator iscsi] # /etc/init.d/iscsi restart
[root@ Initiator iscsi] # iscsiadm -m discovery -t sendtargets -p 192.168.12.246 192.168.12.246:3260,1 iqn.2002-04.net.ixdba:sdc2
[root@ Initiator iscsi] #fdisk -l
Disk /dev/sda: 320.0 GB, 320072933376 bytes
255 heads, 63 sectors/track, 38913 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks  Id System
/dev/sdal    * 1 13 104391  83 Linux
/dev/sda2  14 38913 312464250 8e Linux LVM

Disk /dev/sdb: 5724 MB, 5724794880 bytes
177 heads, 62 sectors/track, 1018 cylinders
Units = cylinders of 10974 * 512 = 5618688 bytes

Device Boot Start End Blocks  Id System
/dev/sdbl     1 1018 5585735  83 Linux

通过重启iscsi-target服务,重新执行Target发现,Linux系统已经识别了Target共享的磁盘分区,其中“/dev/sdb: 5724 MB”就是iSCSI共享磁盘。接下来就可以在Linux上管理和使用这个共享磁盘了。

最后,登录windows系统,打开Microsoft iSCSI Initiator,添加iSCSI共享磁盘即可。

时间: 2024-09-27 20:07:49

iSCSI在授权访问和安全管理方面的相关设定的相关文章

Android授权访问网页

  Android授权访问网页,使用Webview显示OAuth Version 2.a ImplicitGrant方式授权的页,移动终端不建议使用Authorize code grant方式授权:

Android实现授权访问网页的方法_Android

本文实例讲述了Android授权访问网页的实现方法,即使用Webview显示OAuth Version 2.a ImplicitGrant方式授权的页,但是对于移动终端不建议使用Authorize code grant方式授权. 具体功能代码如下所示: import android.annotation.SuppressLint; import android.app.Activity; import android.content.Intent; import android.graphics

Redis3未授权访问漏洞导致服务器被入侵

今天在腾讯云上搭的开发环境里的一台机器cpu load飚升老高,然后还能登陆上去,top后发现两个可疑进程./root/目录下有修改过的文件./opt目录被干掉了, 后经分析,这台机器上有redis外网服务,/root目录下还有个READ_ME.txt,  内容如下: 中招了,,两个可疑进程 在腾讯云上找到篇处理步骤: Redis 默认情况下,会绑定在 0.0.0.0:6379,这样会将 Redis 服务暴露到公网上,在Redis服务器没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的

ASP.NET 未被授权访问所请求的资源。请考虑授予 ASP.NET 请求标识访问此资源的权限

问题描述 对路径"d:windowssystem32inetsrvRuntimeError.log"的访问被拒绝.说明:执行当前Web请求期间,出现未处理的异常.请检查堆栈跟踪信息,以了解有关该错误以及代码中导致错误的出处的详细信息.异常详细信息:System.UnauthorizedAccessException:对路径"d:windowssystem32inetsrvRuntimeError.log"的访问被拒绝.ASP.NET未被授权访问所请求的资源.请考虑授

Memcache未授权访问漏洞利用及bug修复详解

memcached是一套分布式的高速缓存系统.它以Key-Value(键值对)形式将数据存储在内存中,这些数据通常是应用读取频繁的.正因为内存中数据的读取远远大于硬盘,因此可以用来加速应用的访问. 漏洞成因: 由于memcached安全设计缺陷,客户端连接memcached服务器后 无需认证就 可读取.修改服务器缓存内容. 漏洞影响: 除memcached中数据可被直接读取泄漏和恶意修改外,由于memcached中的数据像正常网站用户访问提交变量一样会被后端代码处理,当处理代码存在缺陷时会再次导

Redis 未授权访问缺陷可轻易导致系统被黑

Sebug 网站公布了 Redis 未授权访问缺陷的详细漏洞信息,这个 Redis 未授权访问缺陷可轻易导致系统被黑.详细内容请看下文: 漏洞概要 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访 问Redis以及读取Redis的数据.攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的

SSLC0008E: 无法初始化 SSL 连接。未授权访问被拒绝,或者安全性设置已到期。

问题描述 [12-6-2914:34:37:936CST]0000001aSSLHandshakeEESSLC0008E:无法初始化SSL连接.未授权访问被拒绝,或者安全性设置已到期.异常:javax.net.ssl.SSLHandshakeException:ClientrequestedprotocolUnknown-0.2notenabledornotsupportedatcom.ibm.jsse2.gb.t(gb.java:444)atcom.ibm.jsse2.qc.b(qc.java

阿里云CentOS+PHP+Nginx+Redis未授权访问漏洞

在阿里云上挂了一个网站,运行CentOS+PHP+Nginx,服务器装了redis,端口是6379,打开阿里云后台云盾报一个安全漏洞,漏洞类型是Redis未授权访问漏洞,漏洞地址是xx.xx.xx.xx:6379,也提供了解决方案. 记录如下: 一.漏洞描述和危害 Redis因配置不当可以未授权访问,被攻击者恶意利用. 攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据. 攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件,

全球近80万FTP服务器账号可被未授权访问

最近,安全研究人员Minxomat尝试对全球所有的IPv4地址进行一个FTP枚举测试.经过测试发现,有796578个FTP登陆口令枚举成功,可以进行未经授权访问.在测试的过程中该研究人员主要是尝试针对21号端口进行匿名访问,密码为空.如果要通过字典枚举账号和密码,那么这个数量会下降很多. 扫描器我们见过很多,但是这个扫描器有些与众不同.Minxomat说道:"我一直想做一个可以扫描器,可以通过低配置的KVM进行使用,也就是说这个扫描器不能依靠别的扫描框架,而是单纯通过几个简单的脚本文件就可以执行