Checkliste¶

Check-Key-Manager-01: Ist der Eigentümer der Konfigurationsdatei gesetzt auf root/barbican?¶

Configuration files contain critical parameters and information required for smooth functioning of the component. If an unprivileged user, either intentionally or accidentally, modifies or deletes any of the parameters or the file itself then it would cause severe availability issues resulting in a denial of service to the other end users. User ownership of such critical configuration files must be set to root and group ownership must be set to barbican. Additionally, the containing directory should have the same ownership to ensure that new files are owned correctly.

Führen Sie die folgenden Befehle aus:

$ stat -L -c "%U %G" /etc/barbican/barbican.conf | egrep "root barbican"
$ stat -L -c "%U %G" /etc/barbican/barbican-api-paste.ini | egrep "root barbican"
$ stat -L -c "%U %G" /etc/barbican/policy.json | egrep "root barbican"
$ stat -L -c "%U %G" /etc/barbican | egrep "root barbican"

Pass: Wenn Benutzer- und Gruppeneigentümer aller dieser Konfigurationsdateien auf root bzw. barbican gesetzt sind. Die obigen Befehle zeigen die Ausgabe von root/barbican an.

Fail: Wenn die obigen Befehle keine Ausgabe zurückgeben, ist es möglich, dass die Benutzer- und Gruppeneigentümer möglicherweise auf einen anderen Benutzer als root oder eine andere Gruppe als barbican gesetzt wurden.

Check-Key-Manager-02: Sind für Konfigurationsdateien strenge Berechtigungen festgelegt?¶

Ähnlich wie bei der vorherigen Prüfung wurde empfohlen, für solche Konfigurationsdateien strenge Zugriffsberechtigungen festzulegen.

Führen Sie die folgenden Befehle aus:

$ stat -L -c "%a" /etc/barbican/barbican.conf
$ stat -L -c "%a" /etc/barbican/barbican-api-paste.ini
$ stat -L -c "%a" /etc/barbican/policy.json
$ stat -L -c "%a" /etc/barbican

A broader restriction is also possible: if the containing directory is set to 750, the guarantee is made that newly created files inside this directory would have the desired permissions.

Pass: If permissions are set to 640 or stricter, or the containing directory is set to 750. The permissions of 640 translates into owner r/w, group r, and no rights to others, for example „u=rw,g=r,o=“.

Bemerkung

Mit: ref: check_key_mgr_01 und Berechtigungen auf 640 gesetzt, root hat Lese- / Schreibzugriff und barbican hat Lesezugriff auf diese Konfigurationsdateien. Die Zugriffsrechte können auch mit dem folgenden Befehl überprüft werden. Dieser Befehl ist nur auf Ihrem System verfügbar, wenn er ACLs unterstützt.

$ getfacl --tabular -a /etc/barbican/barbican.conf
getfacl: Removing leading '/' from absolute path names
# file: etc/barbican/barbican.conf
USER   root  rw-
GROUP  barbican  r--
mask         r--
other        ---

Fail: Wenn Berechtigungen grösser als 640 gesetzt sind.

Check-Key-Manager-03: Wird OpenStack Identity zur Authentifizierung verwendet?¶

OpenStack unterstützt verschiedene Authentifizierungsstrategien wie noauth und keystone. Wenn die Strategie „noauth“ verwendet wird, können die Benutzer ohne Authentifizierung mit OpenStack-Diensten interagieren. Dies kann ein potenzielles Risiko darstellen, da ein Angreifer möglicherweise einen nicht autorisierten Zugriff auf die OpenStack-Komponenten erhält. Wir empfehlen dringend, dass alle Dienste über ihre Dienstkonten mit Keystone authentifiziert werden müssen.

Pass: Wenn der Parameter authtoken unter der pipeline:barbican-api-keystone Sektion in barbican-api-paste.ini gelistet ist.

Fail: Wenn der Parameter authtoken unter der pipeline:barbican-api-keystone Sektion in barbican-api-paste.ini nicht vorhanden ist.

Check-Key-Manager-04: Ist TLS zur Authentifizierung aktiviert?¶

OpenStack-Komponenten kommunizieren miteinander mit verschiedenen Protokollen und die Kommunikation kann sensible oder vertrauliche Daten beinhalten. Ein Angreifer kann versuchen, auf dem Kanal zu lauschen, um Zugang zu sensiblen Informationen zu erhalten. Alle Komponenten müssen über ein gesichertes Kommunikationsprotokoll miteinander kommunizieren.

Pass: If value of parameter www_authenticate_uri under [keystone_authtoken] section in /etc/barbican/barbican.conf is set to Identity API endpoint starting with https:// and value of parameter insecure under the same [keystone_authtoken] section in the same /etc/barbican/barbican.conf is set to False.

Fail: If value of parameter www_authenticate_uri under [keystone_authtoken] section in /etc/barbican/barbican.conf is not set to Identity API endpoint starting with https:// or value of parameter insecure under the same [keystone_authtoken] section in the same /etc/barbican/barbican.conf is set to True.

Checkliste