Daftar periksa¶
Check-Shared-01: Apakah user/group kepemilikan file konfigurasi diset ke root/manila?¶
File konfigurasi berisi parameter penting dan informasi yang diperlukan untuk kelancaran komponen. Jika pengguna yang tidak memiliki hak istimewa, baik secara sengaja atau tidak sengaja, memodifikasi atau menghapus salah satu parameter atau file itu sendiri, maka hal itu akan menyebabkan masalah ketersediaan yang parah yang mengakibatkan penolakan layanan kepada pengguna akhir lainnya. Dengan demikian kepemilikan pengguna atas file konfigurasi kritis tersebut harus diatur ke root dan kepemilikan grup harus diatur ke manila. Selain itu, direktori yang berisi harus memiliki kepemilikan yang sama untuk memastikan bahwa file baru dimiliki dengan benar.
Jalankan perintah berikut:
$ stat -L -c "%U %G" /etc/manila/manila.conf | egrep "root manila"
$ stat -L -c "%U %G" /etc/manila/api-paste.ini | egrep "root manila"
$ stat -L -c "%U %G" /etc/manila/policy.json | egrep "root manila"
$ stat -L -c "%U %G" /etc/manila/rootwrap.conf | egrep "root manila"
$ stat -L -c "%U %G" /etc/manila | egrep "root manila"
Pass: Jika kepemilikan pengguna dan grup dari semua file konfigurasi ini diset ke root dan manila masing-masing. Perintah di atas menunjukkan output dari manila root.
Fail: Jika perintah di atas tidak mengembalikan output apa pun karena kepemilikan pengguna dan grup mungkin telah ditetapkan ke pengguna selain root atau grup selain manila.
Check-Shared-02: Apakah ada izin ketat diatur untuk file konfigurasi?¶
Serupa dengan cek sebelumnya, disarankan untuk menetapkan izin akses yang ketat untuk file konfigurasi tersebut.
Jalankan perintah berikut:
$ stat -L -c "%a" /etc/manila/manila.conf
$ stat -L -c "%a" /etc/manila/api-paste.ini
$ stat -L -c "%a" /etc/manila/policy.json
$ stat -L -c "%a" /etc/manila/rootwrap.conf
$ stat -L -c "%a" /etc/manila
Pembatasan yang lebih luas juga dimungkinkan: jika direktori yang berisi diatur ke 750, jaminan dibuat bahwa file yang baru dibuat di dalam direktori ini akan memiliki izin yang diinginkan.
Pass: Jika izin ditetapkan ke 640 atau lebih ketat, atau direktori yang berisi diatur ke 750. Izin 640 diterjemahkan ke dalam pemilik r / w, grup r, dan tidak ada hak kepada orang lain yaitu "u = rw, g = r, o =" . Perhatikan bahwa dengan :ref: check_shared_fs_01 dan izin disetel ke 640, root memiliki akses read/write dan manila telah membaca akses ke file konfigurasi ini. Hak akses juga dapat divalidasi menggunakan perintah berikut. Perintah ini hanya akan tersedia di sistem Anda jika mendukung ACL.
$ getfacl --tabular -a /etc/manila/manila.conf
getfacl: Removing leading '/' from absolute path names
# file: etc/manila/manila.conf
USER root rw-
GROUP manila r--
mask r--
other ---
Fail: Jika izin tidak diatur ke setidaknya 640.
Check-Shared-03: Apakah OpenStack Identity digunakan untuk otentikasi?¶
Catatan
Item ini hanya berlaku untuk rilis OpenStack Rocky dan sebelumnya karena auth_strategy sudah tidak digunakan lagi di Stein.
OpenStack mendukung berbagai strategi otentikasi seperti noauth dan keystone. Jika strategi noauth' digunakan maka pengguna dapat berinteraksi dengan layanan OpenStack tanpa autentikasi apapun. Ini bisa menjadi risiko potensial karena penyerang bisa mendapatkan akses tidak sah ke komponen OpenStack. Jadi sangat disarankan agar semua layanan harus diautentikasi dengan keystone menggunakan akun layanan mereka.
Pass: Jika nilai parameter auth_strategy di bawah bagian [DEFAULT] dalam manila.conf diatur ke keystone.
Fail: Jika nilai parameter auth_strategy di bawah bagian `` [DEFAULT] `` diatur ke noauth.
Check-Shared-04: Apakah TLS diaktifkan untuk otentikasi?¶
Komponen OpenStack berkomunikasi satu sama lain menggunakan berbagai protokol dan komunikasi mungkin melibatkan data sensitif atau rahasia. Penyerang dapat mencoba menguping (eavesdrop) saluran untuk mendapatkan akses ke informasi sensitif. Semua komponen harus berkomunikasi satu sama lain menggunakan protokol komunikasi aman.
Pass: If value of parameter www_authenticate_uri under
[keystone_authtoken] section in /etc/manila/manila.conf is set to
Identity API endpoint starting with https:// and value of parameter
insecure under the same [keystone_authtoken] section in the same
/etc/manila/manila.conf is set to False.
Fail: If value of parameter www_authenticate_uri under
[keystone_authtoken] section in /etc/manila/manila.conf is not set to
Identity API endpoint starting with https:// or value of parameter
insecure under the same [keystone_authtoken] section in the same
/etc/manila/manila.conf is set to True.
Check-Shared-05: Apakah Shared File Systems kontak dengan Compute over TLS?¶
Catatan
This item only applies to OpenStack releases Train and before as
auth_strategy was deprecated in Ussuri.
Komponen OpenStack berkomunikasi satu sama lain dengan menggunakan berbagai protokol dan komunikasi mungkin melibatkan data sensitif atau rahasia. Penyerang dapat mencoba menguping saluran untuk mendapatkan akses ke informasi sensitif. Dengan demikian semua komponen harus berkomunikasi satu sama lain menggunakan protokol komunikasi yang aman.
Pass: Jika nilai parameter nova_api_insecure dibawah bagian [DEFAULT] dalam manila.conf diatur ke False.
Fail: Jika nilai parameter nova_api_insecure di bawah bagian `` DEFAULT] `` di manila.conf disetel ke True.
Check-Shared-06: Apakah Shared File Systems kontak dengan Networking over TLS?¶
Catatan
This item only applies to OpenStack releases Train and before as
auth_strategy was deprecated in Ussuri.
Serupa dengan cek sebelumnya (Check-Shared-05: Apakah Shared File Systems kontak dengan Compute over TLS?), disarankan semua komponen harus berkomunikasi satu sama lain menggunakan protokol komunikasi aman.
**Pass:**Jika nilai parameter neutron_api_insecure di bawah bagian [DEFAULT] `` di ``manila.conf diatur ke False.
Fail: Jika nilai parameter neutron_api_insecure di bawah bagian [DEFAULT] `` di ``manila.conf diatur ke True.
Check-Shared-07: Apakah Shared File Systems kontak dengan Block Storage over TLS?¶
Catatan
This item only applies to OpenStack releases Train and before as
auth_strategy was deprecated in Ussuri.
Serupa dengan cek sebelumnya (Check-Shared-05: Apakah Shared File Systems kontak dengan Compute over TLS?), disarankan semua komponen harus berkomunikasi satu sama lain menggunakan protokol komunikasi aman.
Pass: Jika nilai parameter cinder_api_insecure di bawah bagian [DEFAULT] `` di ``manila.conf diatur ke False.
Fail: Jika nilai parameter cinder_api_insecure di bawah bagian [DEFAULT] `` di ``manila.conf diatur ke True.
Check-Shared-08: Apakah ukuran maksimal untuk badan permintaan diatur ke default (114688)?¶
Jika ukuran tubuh maksimum per permintaan tidak ditentukan, penyerang dapat menghasilkan permintaan OSAPI yang sewenang-wenang (arbitrary) dengan ukuran besar menyebabkan layanan mogok dan akhirnya mengakibatkan serangan Denial Of Service. Menetapkan nilai maksimum memastikan bahwa permintaan besar yang berbahaya diblokir untuk memastikan ketersediaan layanan lanjutan.
Pass: Jika nilai parameter max_request_body_size di bagian [oslo_middleware] `` di ``manila.conf diatur ke 114688, atau jika nilai parameter osapi_max_request_body_size di bawah bagian [DEFAULT ] `` dalam ``manila.conf diatur ke 114688. Parameter osapi_max_request_body_size di bawah [DEFAULT] `` sudah tidak berlaku lagi dan lebih baik menggunakan [oslo_middleware]/``max_request_body_size.
Fail: Jika nilai parameter max_request_body_size di bawah bagian [oslo_middleware] `` di ``manila.conf tidak diatur ke 114688, atau jika nilai parameter osapi_max_request_body_size di bawah [ DEFAULT] `` di ``manila.conf tidak diatur ke 114688.
