Daftar periksa¶

Check-Neutron-01: Apakah kepemilikan user/group dari file konfigurasi diset ke root/neutron?¶

File konfigurasi berisi parameter penting dan informasi yang diperlukan untuk kelancaran komponen. Jika pengguna yang tidak memiliki hak istimewa, baik secara sengaja atau tidak sengaja memodifikasi atau menghapus salah satu parameter atau file itu sendiri, maka itu akan menyebabkan masalah ketersediaan yang parah yang menyebabkan penolakan layanan kepada pengguna akhir lainnya. Dengan demikian kepemilikan pengguna atas file konfigurasi kritis tersebut harus diatur ke root dan kepemilikan grup harus diatur ke neutron. Selain itu, direktori yang berisi harus memiliki kepemilikan yang sama untuk memastikan bahwa file baru dimiliki dengan benar.

Jalankan perintah berikut:

$ stat -L -c "%U %G" /etc/neutron/neutron.conf | egrep "root neutron"
$ stat -L -c "%U %G" /etc/neutron/api-paste.ini | egrep "root neutron"
$ stat -L -c "%U %G" /etc/neutron/policy.json | egrep "root neutron"
$ stat -L -c "%U %G" /etc/neutron/rootwrap.conf | egrep "root neutron"
$ stat -L -c "%U %G" /etc/neutron | egrep "root neutron"

**Pass:**Jika kepemilikan pengguna dan grup dari semua file konfigurasi ini diset ke root dan neutron. Perintah di atas menunjukkan output dari root neutron.

Fail: Jika perintah di atas tidak mengembalikan output apa pun karena kepemilikan pengguna dan grup mungkin telah ditetapkan ke pengguna selain root atau grup selain neutron.

Check-Neutron-02: Apakah izin ketat diatur untuk file konfigurasi?¶

Serupa dengan cek sebelumnya, disarankan untuk menetapkan izin akses yang ketat untuk file konfigurasi tersebut.

Jalankan perintah berikut:

$ stat -L -c "%a" /etc/neutron/neutron.conf
$ stat -L -c "%a" /etc/neutron/api-paste.ini
$ stat -L -c "%a" /etc/neutron/policy.json
$ stat -L -c "%a" /etc/neutron/rootwrap.conf
$ stat -L -c "%a" /etc/neutron

Pembatasan yang lebih luas juga dimungkinkan: jika direktori yang berisi diatur ke 750, jaminan dibuat bahwa file yang baru dibuat di dalam direktori ini akan memiliki izin yang diinginkan.

**Pass:**Jika izin diatur ke 640 atau lebih ketat, atau direktori yang berisi diatur ke 750. Izin 640 diterjemahkan ke dalam pemilik r / w, grup r, dan tidak ada hak untuk orang lain i.e. "u=rw,g=r,o=".

Perhatikan bahwa dengan :ref: check_neutron_01 dan izin diatur ke 640, root memiliki akses read/write dan neutron memiliki akses baca ke file konfigurasi ini. Hak akses juga dapat divalidasi menggunakan perintah berikut. Perintah ini hanya akan tersedia di sistem Anda jika mendukung ACL.

$ getfacl --tabular -a /etc/neutron/neutron.conf
getfacl: Removing leading '/' from absolute path names
# file: etc/neutron/neutron.conf
USER   root     rw-
GROUP  neutron  r--
mask            r--
other           ---

Fail: Jika izin tidak diatur ke setidaknya 640.

Check-Neutron-03: Apakah keystone digunakan untuk otentikasi?¶

Catatan

Item ini hanya berlaku untuk rilis OpenStack Rocky dan sebelumnya karena auth_strategy sudah tidak digunakan lagi di Stein.

OpenStack mendukung berbagai strategi otentikasi seperti noauth, keystone dll. Jika strategi 'noauth' digunakan maka pengguna dapat berinteraksi dengan layanan OpenStack tanpa autentikasi apapun. Ini bisa menjadi risiko potensial karena penyerang bisa mendapatkan akses tidak sah ke komponen OpenStack. Jadi sangat disarankan agar semua layanan harus diautentikasi dengan keystone menggunakan akun layanan mereka.

Pass: Jika nilai parameter auth_strategy di bawah bagian [DEFAULT] di /etc/neutron/neutron.conf diatur ke keystone.

Fail: Jika nilai parameter auth_strategy di bawah bagian [DEFAULT] `` diatur ke ``noauth atau noauth2.

Check-Neutron-04: Apakah protokol aman digunakan untuk otentikasi?¶

Komponen OpenStack berkomunikasi satu sama lain dengan menggunakan berbagai protokol dan komunikasi mungkin melibatkan data sensitif / rahasia. Penyerang dapat mencoba menguping (eavesdrop) saluran untuk mendapatkan akses ke informasi sensitif. Dengan demikian semua komponen harus saling berkomunikasi menggunakan protokol komunikasi yang aman.

Pass: Jika nilai parameter `` www_authenticate_uri`` di bawah bagian [keystone_authtoken] `` di ``/etc/neutron/neutron.conf diatur ke titik akhir API Identitas mulai dengan `` https: // `` dan nilai dari parameter `` insecure`` di bawah bagian [keystone_authtoken] `` yang sama di ``/etc/neutron/neutron.conf yang sama diatur ke False.

Fail: Jika nilai parameter `` www_authenticate_uri`` di bawah bagian [keystone_authtoken] di /etc/neutron/neutron.conf tidak disetel ke titik akhir API Identitas yang dimulai dengan https: // `` atau nilai dari parameter `` insecure di bawah bagian [keystone_authtoken] `` yang sama di ``/etc/neutron/neutron.conf yang sama diatur ke True.

Check-Neutron-05: Apakah TLS diaktifkan pada server API Neutron?¶

Serupa dengan cek sebelumnya, disarankan untuk mengaktifkan komunikasi yang aman di server API.

Pass: Jika nilai parameter use_ssl di bawah bagian [DEFAULT] di /etc/neutron/neutron.conf``diatur ke ``True.

Fail: Jika nilai parameter use_ssl di bawah bagian [DEFAULT] di /etc/neutron/neutron.conf diatur ke False.

Daftar periksa

Daftar periksa¶

Check-Neutron-01: Apakah kepemilikan user/group dari file konfigurasi diset ke root/neutron?¶

Check-Neutron-02: Apakah izin ketat diatur untuk file konfigurasi?¶

Check-Neutron-03: Apakah keystone digunakan untuk otentikasi?¶

Check-Neutron-04: Apakah protokol aman digunakan untuk otentikasi?¶

Check-Neutron-05: Apakah TLS diaktifkan pada server API Neutron?¶

Security Guide

Page Contents