OpenStack 镜像密码修改办法

prollerweg

Contents [hide]

• 1 场景
  
• 2 方案一
  
• 3 方案二
  
• 4 方案三
  
• 5 目前采用方案三
  

场景
　　用户将实例里的root密码修改了，/root/.ssh/的公钥文件删除了，然后把密码忘记了，需要重置密码功能。

方案一
　　镜像里做一个修改密码的http服务，打开一个端口，实例里该服务一直运行，如果接受到来自管理平台的IP地址的该请求，修改密码。 效果：不需要重启服务器，需要开一个端口服务。 甚至可以扩展服务做监控使用。 可能的问题：如果用户停掉该服务，则需要将该服务加入开机启动，重启后才能够修改密码，如果用户直接将开机启动脚本也删除了，则不能修改密码。另外可能的安全问题。

方案二
　　基于wget http://169.254.169.254/openstack/latest/meta_data.json能获取到实例的meta数据，里面有原本的证书内容：
　　{"random_seed": "FnlR1A40eQSomVBFczvjNGUbjq+0+bQ+8I04T2EpD2lycYrWcBNHcTC1VfUvq2IFlZ8WtM6jMM6l3YJ3h2J0gl25beFdz5EP5i1ZQ6+T4Ho7/HAbV7Q80Zjr0BukmC8QGbyNyZRuNObg597pFAdt2eeqF0dpUq9IuZn/lKLZwmiC4kZGc SC62XZ2I0um3qzk1pxmEW4rl+SG8fp6rQNmpcYLYk/vky/FX+pYpt7ObyJqkFVY66XbMUldx2fUgEexA9kO3Slf31+1odfM/BTXbTc0ThrhMkVC1JXnDPWlldnnHA2cNTWHJtdqG8MR91etBUqsBt2W09xMK1BKz+IoB7OXHKNFFaAO1uwjbjyUY9pyqqckLCM Q9Tqwj9xBfZ92Ja7BfRIEaF+eDu9xkNxANae6ZGZZ1XLImFjLvbkrBjBJQ9Ry1WoMkMAAao5IjAJaVt3XjdzO+83qOD2zVa7XM1aKGmJaDsOI2la6Sby8GAd9MdL+lANp7gYalqEECAmcfJeLuVA0zBfY54SVSWm9pN9dWeI10Xe8mnJgTvIjePsYDcWYD3nU4 maBrqL043VkrbjIIyhyIuIbhDYJ1cTvJtacRPq7AM+d/EJ9zy1uXK4OyCDpZpuao7T+jDTl2/QmoJ18kYdbOSXJOXrcdyu6LT08C7CKJCNBO2z+sc9cGAM=", "uuid": "19951b2a-cd26-40fc-862c-0d9b82961bf3", "availability_zone": "no va", "hostname": "tangcl.novalocal", "launch_index": 0, "meta": {"admin_pass": "tangcl2"}, "public_keys": {"tangcl": "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA4odTNZEvA6EBWKXDNfwPQytztVrRAnMGFThdq978 2cKn7WHGekKjtVROt+0oIVj9UR95Lpi53jZATr5dmB4tfu6Lbgjnhv0ugmGLwjrW94J9xKlDaDwr10oSnnB1Ux46eN9KfvnrNKMBy2azmvuhQOJjIWQZM0ZvqDf1cBh6fM1Zk0ipJ7NEghoJelvYTy3v9PTrOOBbSiwtsnSqVmFIKTtqwLsKb9uZAz2Zd5eohU lFl/KzPl9AIdotil7wn3H8pCgQDSZbG/5H0hvpq+9a1L9rIgmyVq0+UbQzNeu8g9l2EGn56y1mUlOrAf7mIuUNqLydqZOp3I1vdBz3ESt0nQ== Generated by Nova\n"}, "name": "tangcl"}
　　管理员通过密钥登录到虚拟机里然后设置密码。 效果：需要重启服务器，而私钥也丢了，就还是不能重置密码。

方案三
　　： 基于wget http://169.254.169.254/openstack/latest/meta_data.json里的meta内容，
　　{"random_seed": "DVb03nT4SJaH29wVaXDzfgYX8fwd2HebFiWeDHkNCItcYrUeB+iqtqW8U0055WJ1gCGN8WXS0iUHngUNECSuSszbgpGA873qGV7OHIB6Z+jh4Zm+7hNmk58U3I9/eKgAS1vSw7eCru99+LF1QAc7g8JVd4DHgoUrEc4lnJtaS6h/zI6c1 b+oB2roJ7tdRxqoMaHX529eNoQCeVpNWO56UwGFRUT+wzl4oTEj7saMET3LaNOy08Bg2qXM5DsD/cFZBRRpJfZIuAc48ytRfleSSaaT2hcHlypZv2piycJRvclb7S/jFNua4ZpUIz1nV+QmdTP/dKl7ojETY2Y5r855Q6AEWe/vb+JaQbuiXELnas+3r0GickA pCOXvkw2fN8vWU32bjHFgj3WWAeDBkXw4Vw9Ujz/aYV2K8mAz0YN60JgusT2WltjfYhUdEYjiANVwpzqGwhGvqn3whbzsa9miJlHjZeTxM2nkBQhkgoWoJOkjt+eBEf/SrCnNMrrGhSr+Pad1ZdUJrYNABgdaeuLivddGtvkCGmM4qQhKlAjhNndt5jggrthit sIsFT9F23MUHcoI2VxKLOWHRuaqrI7n8jd/aRlZJswpFAkNSrTCbEwEZJ/dcVWVPGr9iBoq4tQwUGsWrcJr6HFkVPMaH0yVIhYTO4ntAxNv4slnO+iyV6Q=", "uuid": "19951b2a-cd26-40fc-862c-0d9b82961bf3", "availability_zone": "no va", "hostname": "tangcl.novalocal", "launch_index": 0, "meta": {"admin_pass": "tangcl3", "changePasswd": "True"}, "public_keys": {"tangcl": "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA4odTNZEvA6EBWKXD NfwPQytztVrRAnMGFThdq9782cKn7WHGekKjtVROt+0oIVj9UR95Lpi53jZATr5dmB4tfu6Lbgjnhv0ugmGLwjrW94J9xKlDaDwr10oSnnB1Ux46eN9KfvnrNKMBy2azmvuhQOJjIWQZM0ZvqDf1cBh6fM1Zk0ipJ7NEghoJelvYTy3v9PTrOOBbSiwtsnSqVm FIKTtqwLsKb9uZAz2Zd5eohUlFl/KzPl9AIdotil7wn3H8pCgQDSZbG/5H0hvpq+9a1L9rIgmyVq0+UbQzNeu8g9l2EGn56y1mUlOrAf7mIuUNqLydqZOp3I1vdBz3ESt0nQ== Generated by Nova\n"}, "name": "tangcl"}
　　设置meta:{“changPasswd":True,"adminPass":"tangcl2"},在/etc/rc.local里编写一个脚本，主要是开机启动请求wget http://169.254.169.254/openstack/latest/meta_data.json，以远程请求的为如果检查到里面的changePasswd为True,表示需要修改密码，使用admin_pass修改密码。如果为changePasswd为False，不修改密码。 基本流程：在管理平台使用nova meta admin_pass=tangcl2 changepasswd=True,设置meta,在重启服务器，执行到修改密码的脚本，密码可修改成功。一旦修改成功后重新设置changePasswd 可能的问题，一旦修改meta后changePasswd就为True,则以后该实例重启都会修改密码，需要重新设置changePasswd=False,需要一个地方标记做修改，同时要易于理解。如果做成一键修改，在实例重启后无法验证是否执行了修改脚本而在管理平台提前执行了标记False。

目前采用方案三
　　在镜像模板的/usr/bin/下添加文件resetroot，内容为:

#! /usr/bin/python
import os
import json
import urllib
def get_data():
data = urllib.urlopen("http://169.254.169.254/openstack/latest/meta_data.json").read()
return data
def parse_data(data):
json_data = json.loads(data)
changePasswd = json_data.get("meta").get("changePasswd")
if changePasswd == "True":
adminPass = json_data.get("meta").get("admin_pass")
os.system("echo 'root:%s' | chpasswd" % adminPass)
data = get_data()
parse_data(data)   

　　在/etc/rc.local上添加一行resetroot
　　导出该镜像模板，用该模板使用openstack创建一台虚拟机. 使用nova meta ddfs set changePasswd=True admin_pass=tangcl55 设置密码，重启虚拟机后密码修改。 需要在使用nova meta ddfs set changePasswd=False,否则以后虚拟机重启都要修改一次密码。