Daftar periksa¶
Check-Compute-01: Apakah kepemilikan user/group dari file konfigurasi diatur ke root/nova?¶
File konfigurasi berisi parameter penting dan informasi yang diperlukan untuk kelancaran komponen. Jika pengguna yang tidak memiliki hak istimewa, baik sengaja atau tidak sengaja, memodifikasi atau menghapus salah satu parameter atau file itu sendiri, maka itu akan menyebabkan masalah ketersediaan yang parah yang menyebabkan penolakan layanan kepada pengguna akhir lainnya. Kepemilikan pengguna atas file konfigurasi kritis tersebut harus diatur ke root dan kepemilikan grup harus diatur ke nova. Selain itu, direktori yang berisi harus memiliki kepemilikan yang sama untuk memastikan bahwa file baru dimiliki dengan benar.
Jalankan perintah berikut:
$ stat -L -c "%U %G" /etc/nova/nova.conf | egrep "root nova"
$ stat -L -c "%U %G" /etc/nova/api-paste.ini | egrep "root nova"
$ stat -L -c "%U %G" /etc/nova/policy.json | egrep "root nova"
$ stat -L -c "%U %G" /etc/nova/rootwrap.conf | egrep "root nova"
$ stat -L -c "%U %G" /etc/nova | egrep "root nova"
Pass: Jika kepemilikan pengguna dan grup dari semua file konfigurasi ini diset masing-masing ke root dan nova. Perintah di atas menunjukkan output dari root nova.
Fail: Jika perintah di atas tidak mengembalikan output apa pun, kepemilikan pengguna dan grup mungkin telah ditetapkan ke pengguna selain root atau grup selain nova.
Direkomendasikan di: Compute.
Check-Compute-02: Apakah izin ketat diatur untuk file konfigurasi?¶
Serupa dengan cek sebelumnya, kami menyarankan untuk menetapkan izin akses yang ketat untuk file konfigurasi tersebut.
Jalankan perintah berikut:
$ stat -L -c "%a" /etc/nova/nova.conf
$ stat -L -c "%a" /etc/nova/api-paste.ini
$ stat -L -c "%a" /etc/nova/policy.json
$ stat -L -c "%a" /etc/nova/rootwrap.conf
Pembatasan yang lebih luas juga dimungkinkan: jika direktori yang berisi diatur ke 750, jaminan dibuat bahwa file yang baru dibuat di dalam direktori ini akan memiliki izin yang diinginkan.
Pass: Jika izin diatur ke 640 atau lebih ketat, atau direktori yang berisi diatur ke 750. Izin 640/750 diterjemahkan ke dalam pemilik r/w, group r, dan tidak ada hak kepada orang lain. Misalnya, "u=rw,g=r,o=".
Catatan
Jika Check-Compute-01: Apakah kepemilikan user/group dari file konfigurasi diatur ke root/nova? dan izin diset ke 640, root telah membaca/menulis akses dan nova telah membaca akses ke file konfigurasi ini. Hak akses juga dapat divalidasi dengan menggunakan perintah berikut. Perintah ini hanya akan tersedia di sistem Anda jika mendukung ACL.
$ getfacl --tabular -a /etc/nova/nova.conf
getfacl: Removing leading '/' from absolute path names
# file: etc/nova/nova.conf
USER root rw-
GROUP nova r--
mask r--
other ---
Fail: Jika izin tidak disetel ke setidaknya 640/750.
Direkomendasikan di: Compute.
Check-Compute-03: Apakah keystone digunakan untuk otentikasi?¶
Catatan
Item ini hanya berlaku untuk rilis OpenStack Rocky dan sebelumnya karena auth_strategy sudah tidak digunakan lagi di Stein.
OpenStack mendukung berbagai strategi otentikasi seperti noauth, dan keystone. Jika strategi noauth digunakan, maka pengguna bisa berinteraksi dengan layanan OpenStack tanpa autentikasi apapun. Ini bisa menjadi risiko potensial karena penyerang bisa mendapatkan akses tidak sah ke komponen OpenStack. Kami sangat menyarankan agar semua layanan harus diotentikasi dengan keystone menggunakan akun layanan mereka.
Sebelum Ocata:
Pass: Jika nilai parameter auth_strategy di bawah bagian [DEFAULT] `` di ``/etc/nova/nova.conf diatur ke keystone`.
Fail: Jika nilai parameter auth_strategy di bawah bagian [DEFAULT] `` diatur ke ``noauth atau noauth2.
Setelah Ocata:
Pass: Jika nilai parameter `` auth_strategy`` di bawah [api] atau bagian``[DEFAULT]`` di /etc/nova/nova.conf``diatur ke ``keystone.
Fail: Jika nilai parameter auth_strategy di bawah `` [api] `` atau bagian `` [DEFAULT] `` diatur ke `` noauth`` atau `` noauth2``.
Check-Compute-04: Apakah protokol aman digunakan untuk otentikasi?¶
Komponen OpenStack berkomunikasi satu sama lain menggunakan berbagai protokol dan komunikasi mungkin melibatkan data sensitif atau rahasia. Penyerang dapat mencoba menguping (eavesdrop) saluran untuk mendapatkan akses ke informasi sensitif. Semua komponen harus berkomunikasi satu sama lain menggunakan protokol komunikasi aman.
Pass: Jika nilai parameter `` www_authenticate_uri`` di bawah bagian [keystone_authtoken] di /etc/nova/nova.conf diatur ke titik akhir API Identitas yang dimulai dengan `` https: // `` dan nilai dari parameter `` insecure`` di bawah bagian [keystone_authtoken] `` yang sama di ``/etc/nova/nova.conf yang sama diset ke `` False``.
Fail: Jika nilai parameter `` www_authenticate_uri`` di bawah bagian `` [keystone_authtoken]`` di /etc/nova/nova.conf tidak disetel ke Identity API endpoint yang dimulai dengan `` https: // `` atau nilai dari parameter `` insecure`` di bawah bagian [keystone_authtoken] `` yang sama di ``/etc/nova/nova.conf yang sama diatur ke True.
Check-Compute-05: Apakah Nova berkomunikasi dengan Glance dengan aman?¶
Komponen OpenStack berkomunikasi satu sama lain menggunakan berbagai protokol dan komunikasi mungkin melibatkan data sensitif atau rahasia. Penyerang dapat mencoba menguping (eavesdrop) saluran untuk mendapatkan akses ke informasi sensitif. Semua komponen harus berkomunikasi satu sama lain menggunakan protokol komunikasi aman.
Pass: Jika nilai parameter api_insecure di bawah bagian [glance] `` di ``/etc/nova/nova.conf diatur ke False dan nilai parameter api_servers di bawah bagian [glance]` dalam /etc/nova/nova.conf diatur ke nilai yang dimulai dengan https://.
Fail: Jika nilai parameter api_insecure di bawah bagian [glance] `` di ``/etc/nova/nova.conf diatur ke True, atau jika nilai parameter api_servers di bawah bagian [glance] di /etc/nova/nova.conf diatur ke nilai yang tidak dimulai dengan https://.
