Kontrol listesi¶
Check-Compute-01: Yapılandırma dosyalarının kullanıcı/grup sahipleri root/nova mı?¶
Configuration files contain critical parameters and information required
for smooth functioning of the component. If an unprivileged user, either
intentionally or accidentally, modifies or deletes any of the parameters or
the file itself then it would cause severe availability issues causing a
denial of service to the other end users. User ownership of such critical
configuration files must be set to root
and group ownership must be set to
nova
. Additionally, the containing directory should have the same ownership
to ensure that new files are owned correctly.
Aşağıdaki komutları çalıştırın:
$ stat -L -c "%U %G" /etc/nova/nova.conf | egrep "root nova"
$ stat -L -c "%U %G" /etc/nova/api-paste.ini | egrep "root nova"
$ stat -L -c "%U %G" /etc/nova/policy.json | egrep "root nova"
$ stat -L -c "%U %G" /etc/nova/rootwrap.conf | egrep "root nova"
$ stat -L -c "%U %G" /etc/nova | egrep "root nova"
Başarılı: Tüm bu yapılandırma dosyalarının kullanıcı ve grup sahipliği sırasıyla root
ve nova
olarak ayarlanırsa. Yukarıdaki komutlar root nova
nın çıktısını göstermektedir.
** Başarısız: ** Yukarıdaki komutlar herhangi bir çıktı döndürmezse, kullanıcı ve grup sahipliği root
haricindeki herhangi bir kullanıcıya veya nova
haricindeki herhangi bir gruba ayarlanmış olabilir.
Şurada önerilmiştir: Compute.
Check-Compute-02: Yapılandırma dosyalarındaki izinler sıkı mı?¶
Bir önceki kontrole benzer olarak, yapılandırma dosyalarının erişim izinlerini sıkı olarak ayarlanmasını öneriyoruz.
Aşağıdaki komutları çalıştırın:
$ stat -L -c "%a" /etc/nova/nova.conf
$ stat -L -c "%a" /etc/nova/api-paste.ini
$ stat -L -c "%a" /etc/nova/policy.json
$ stat -L -c "%a" /etc/nova/rootwrap.conf
A broader restriction is also possible: if the containing directory is set to 750, the guarantee is made that newly created files inside this directory would have the desired permissions.
Pass: If permissions are set to 640 or stricter, or the containing directory is set to 750. The permissions of 640/750 translates into owner r/w, group r, and no rights to others. For example, “u=rw,g=r,o=”.
Not
Eğer Check-Compute-01: Yapılandırma dosyalarının kullanıcı/grup sahipleri root/nova mı? ve izinler 640 olarak ayarlandıysa, root’un okuma/yazma yetkisi varsa ve nova’nın bu yapılandırma dosyalarına okuma yetkisi varsa. Bu erişim izinleri aşağıdaki komut ile de doğrulanabilir. Bu komutlar sisteminiz ACL’leri destekliyorsa kullanılabilirdir.
$ getfacl --tabular -a /etc/nova/nova.conf
getfacl: Removing leading '/' from absolute path names
# file: etc/nova/nova.conf
USER root rw-
GROUP nova r--
mask r--
other ---
Fail: If permissions are not set to at least 640/750.
Şurada önerilmiştir: Compute.
Check-Compute-03: Kimlik doğrulamada keystone kullanıldı mı?¶
Not
This item only applies to OpenStack releases Rocky and before as
auth_strategy
was deprecated in Stein.
OpenStack, noauth ve keystone gibi çeşitli kimlik doğrulama stratejilerini desteklemektedir. Eğer noauth stratejisi kullanılırsa, kullanıcılar herhangi bir kimlik denetimi olmaksızın OpenStack servisleri ile etkileşimde bulunabilirler. Bu, bir saldırgan OpenStack bileşenlerine yetkisiz erişebileceğinden potansiyel bir risk oluşturabilir. Tüm servislerin servis hesaplarını kullanarak keystone ile doğrulanması önemle tavsiye edilir.
Before Ocata:
Başarılı: Eğer /etc/nova/nova.conf
dosyasındaki [DEFAULT]
bölümündeki auth_strategy
değeri keystone
ise.
Başarısız: Eğer /etc/nova/nova.conf
dosyasındaki [DEFAULT]
bölümündeki auth_strategy
değeri noauth
ya da noauth2
ise.
After Ocata:
Pass: If value of parameter auth_strategy
under [api]
or
[DEFAULT]
section in /etc/nova/nova.conf
is set to keystone
.
Fail: If value of parameter auth_strategy
under [api]
or
[DEFAULT]
section is set to noauth
or noauth2
.
Check-Compute-04: Kimlik doğrulama için güvenli bir protokol kullanıldı mı?¶
OpenStack bileşenleri çeşitli protokolleri kullanarak birbirleriyle iletişim kurar ve iletişim hassas veya gizli verileri içerebilir. Hassas bilgilerinize erişebilmek için bir saldırgan kanalda kulak misafiri deneyebilir. Tüm bileşenler, güvenli bir iletişim protokolü kullanarak birbirleriyle iletişim kurmalıdır.
Pass: If value of parameter www_authenticate_uri
under
[keystone_authtoken]
section in /etc/nova/nova.conf
is set to
Identity API endpoint starting with https://
and value of parameter
insecure
under the same [keystone_authtoken]
section in the same
/etc/nova/nova.conf
is set to False
.
Fail: If value of parameter www_authenticate_uri
under
[keystone_authtoken]
section in /etc/nova/nova.conf
is not set to
Identity API endpoint starting with https://
or value of parameter
insecure
under the same [keystone_authtoken]
section in the same
/etc/nova/nova.conf
is set to True
.
Check-Compute-05: Nova, Glance ile güvenli bir şekilde haberleşiyor mu?¶
OpenStack bileşenleri çeşitli protokolleri kullanarak birbirleriyle iletişim kurar ve iletişim hassas veya gizli verileri içerebilir. Hassas bilgilerinize erişebilmek için bir saldırgan kanalda kulak misafiri deneyebilir. Tüm bileşenler, güvenli bir iletişim protokolü kullanarak birbirleriyle iletişim kurmalıdır.
Başarılı: /etc/nova/nova.conf
dosyasındaki [glance]
bölümündeki api_insecure
parametresinin değeri False
ise ve /etc/nova/nova.conf
dosyasındaki [glance]
bölümündeki api_servers
parametresinin değeri https://
ile başlayan bir değer ise.
Başarılı: /etc/nova/nova.conf
dosyasındaki [glance]
bölümündeki api_insecure
parametresinin değeri True
ise ve /etc/nova/nova.conf
dosyasındaki [glance]
bölümündeki api_servers
parametresinin değeri https://
ile başlayan bir değer değil ise.