使用root wrapper可以让非特权用户以root身份尽可能安全地执行部分操作。nova曾经使用sudoers文件来列出允许执行的特权命令，使用sudo来运行这么命令，但是这样不容易维护，而且不能进行复杂的参数处理，rootwrap就是为了解决这些问题。

使用sudo nova-rootwrap config-file command，而不再是使用sudo command。只需要使用一个通用的sudoers使nova-rootwrap以root身份运行。nova-rootwrap查看配置文件，加载command filters，检查请求的命令是否匹配某个filter，如果匹配就以root身份运行，否则就拒绝请求。

以devstack安装的openstack

stack@ubuntu :/home/openstack$ cat /etc/iscsi/initiatorname.iscsicat: /etc/iscsi/initiatorname.iscsi: Permission denied

显示没有权限，查看文件的权限

stack@ubuntu :/home/openstack$ ls -l /etc/iscsi/initiatorname.iscsi-rw------- 1 root root 348 Jan 5 05:21 /etc/iscsi/initiatorname.iscsi

只有root有读和写的权限，再用nova-rootwrap试试

sudo nova-rootwrap /etc/nova/rootwrap.conf cat /etc/iscsi/initiatorname.iscsi

可以查看文件内容了再看执行其他命令呢

stack@ubuntu :/root$ sudo nova-rootwrap /etc/nova/rootwrap.conf cat /etc/shadow/usr/local/bin/nova-rootwrap: Unauthorized command: cat /etc/shadow (no filter matched)

不能查看shadow文件，因为没有filter匹配到

sudoers文件是这么写的,路径在/etc/sudoers.d/nova-rootwrap
suoders.d文件夹下的配置都会被加载

stack ALL=(root) NOPASSWD: /usr/local/bin/nova-rootwrap /etc/nova/rootwrap.conf *

所以stack用户可以用nova-rootwrap带任何参数，而且不需要输入密码(NOPASSWD)

在nova.conf文件中定义了rootwrap的配置文件路径

rootwrap_config=/etc/nova/rootwrap.conf

在rootwrap.conf文件中

[DEFAULT]filters_path=/etc/nova/rootwrap.dexec_dirs=/sbin,/usr/sbin,/bin,/usr/binuse_syslog=Falsesyslog_log_facility=syslogsyslog_log_level=ERROR

filter_path包含filters的文件夹，多个文件夹以逗号分隔
exec_dirs为命令的路径，以逗号分隔多个目录

当使用 sudo nova-rootwrap /etc/nova/rootwrap.conf cat /etc/iscsi/initiatorname.iscsi 时，从filter_path目录下加载所有的filters 从所有filters中查找匹配到的filter，用一个新的进程执行