Daftar periksa

Check-Key-Manager-01: Apakah kepemilikan file konfigurasi diset ke root/barbican?

File konfigurasi berisi parameter penting dan informasi yang diperlukan untuk kelancaran komponen. Jika pengguna yang tidak memiliki hak istimewa, baik secara sengaja atau tidak sengaja, memodifikasi atau menghapus salah satu parameter atau file itu sendiri, maka hal itu akan menyebabkan masalah ketersediaan yang parah yang mengakibatkan penolakan layanan kepada pengguna akhir lainnya. Kepemilikan pengguna atas file konfigurasi kritis tersebut harus disetel ke root dan kepemilikan grup harus diatur ke barbican. Selain itu, direktori yang berisi harus memiliki kepemilikan yang sama untuk memastikan bahwa file baru dimiliki dengan benar.

Jalankan perintah berikut:

$ stat -L -c "%U %G" /etc/barbican/barbican.conf | egrep "root barbican"
$ stat -L -c "%U %G" /etc/barbican/barbican-api-paste.ini | egrep "root barbican"
$ stat -L -c "%U %G" /etc/barbican/policy.json | egrep "root barbican"
$ stat -L -c "%U %G" /etc/barbican | egrep "root barbican"

Pass: Jika kepemilikan pengguna dan grup dari semua file konfigurasi ini diset ke root dan barbican. Perintah di atas menunjukkan output dari root / barbican.

Fail: Jika perintah di atas tidak mengembalikan output apapun, kemungkinan kepemilikan pengguna dan grup mungkin telah ditetapkan ke pengguna selain root atau grup selain barbican.

Check-Key-Manager-02: Apakah izin ketat diatur untuk file konfigurasi?

Serupa dengan cek sebelumnya, kami merekomendasikan untuk menetapkan izin akses yang ketat untuk file konfigurasi tersebut.

Jalankan perintah berikut:

$ stat -L -c "%a" /etc/barbican/barbican.conf
$ stat -L -c "%a" /etc/barbican/barbican-api-paste.ini
$ stat -L -c "%a" /etc/barbican/policy.json
$ stat -L -c "%a" /etc/barbican

Pembatasan yang lebih luas juga dimungkinkan: jika direktori yang berisi diatur ke 750, jaminan dibuat bahwa file yang baru dibuat di dalam direktori ini akan memiliki izin yang diinginkan.

Pass: Jika izin ditetapkan ke 640 atau lebih ketat, atau direktori yang berisi diatur ke 750. Izin 640 diterjemahkan ke dalam pemilik r / w, grup r, dan tidak ada hak kepada orang lain, misalnya "u=rw,g=r,o=".

Catatan

Dengan Check-Key-Manager-01: Apakah kepemilikan file konfigurasi diset ke root/barbican? dan hak akses diatur ke 640, root telah membaca / menulis akses dan barbican telah membaca akses ke file konfigurasi ini. Hak akses juga dapat divalidasi dengan menggunakan perintah berikut. Perintah ini hanya akan tersedia di sistem Anda jika mendukung ACL.

$ getfacl --tabular -a /etc/barbican/barbican.conf
getfacl: Removing leading '/' from absolute path names
# file: etc/barbican/barbican.conf
USER   root  rw-
GROUP  barbican  r--
mask         r--
other        ---

Fail: Jika permission ditetapkan lebih besar dari 640.

Check-Key-Manager-03: Apakah OpenStack Identity digunakan untuk otentikasi?

OpenStack mendukung berbagai strategi otentikasi seperti noauth dan keystone. Jika strategi noauth digunakan maka pengguna dapat berinteraksi dengan layanan OpenStack tanpa autentikasi apapun. Ini bisa menjadi risiko potensial karena penyerang bisa mendapatkan akses tidak sah ke komponen OpenStack. Kami sangat menyarankan agar semua layanan harus diotentikasi dengan keystone menggunakan akun layanan mereka.

Pass: Jika parameternya authtoken terdaftar di bawah bagian pipeline:barbican-api-keystone dalam barbican-api-paste.ini.

Fail: Jika parameternya authtoken hilang di bawah bagian pipeline:barbican-api-keystone dalam barbican-api-paste.ini.

Check-Key-Manager-04: Apakah TLS diaktifkan untuk otentikasi?

Komponen OpenStack berkomunikasi satu sama lain menggunakan berbagai protokol dan komunikasi mungkin melibatkan data sensitif atau rahasia. Penyerang dapat mencoba menguping (eavesdrop) saluran untuk mendapatkan akses ke informasi sensitif. Semua komponen harus berkomunikasi satu sama lain menggunakan protokol komunikasi aman.

Pass: If value of parameter www_authenticate_uri under [keystone_authtoken] section in /etc/barbican/barbican.conf is set to Identity API endpoint starting with https:// and value of parameter insecure under the same [keystone_authtoken] section in the same /etc/barbican/barbican.conf is set to False.

Fail: If value of parameter www_authenticate_uri under [keystone_authtoken] section in /etc/barbican/barbican.conf is not set to Identity API endpoint starting with https:// or value of parameter insecure under the same [keystone_authtoken] section in the same /etc/barbican/barbican.conf is set to True.