Kontrol listesi¶
Check-Shared-01: Yapılandırma dosyalarının kullanıcı/grup sahipliği root/manila mı?¶
Configuration files contain critical parameters and information required for smooth functioning of the component. If an unprivileged user, either intentionally or accidentally, modifies or deletes any of the parameters or the file itself then it would cause severe availability issues resulting in a denial of service to the other end users. Thus user ownership of such critical configuration files must be set to root and group ownership must be set to manila. Additionally, the containing directory should have the same ownership to ensure that new files are owned correctly.
Aşağıdaki komutları çalıştırın:
$ stat -L -c "%U %G" /etc/manila/manila.conf | egrep "root manila"
$ stat -L -c "%U %G" /etc/manila/api-paste.ini | egrep "root manila"
$ stat -L -c "%U %G" /etc/manila/policy.json | egrep "root manila"
$ stat -L -c "%U %G" /etc/manila/rootwrap.conf | egrep "root manila"
$ stat -L -c "%U %G" /etc/manila | egrep "root manila"
Başarılı: Tüm bu yapılandırma dosyalarının kullanıcı ve grup sahipliği sırasıyla root ve manila ise. Yukarıdaki komut root manila çıktısını verir.
Başarısız: Yukarıdaki komutlar kullanıcı ve grup sahipliği root’tan veya manila dışındaki herhangi bir gruba ayarlanmış olduğu için herhangi bir çıktı döndürmezse.
Check-Shared-02: Yapılandırma dosyalarının izinleri sıkı olarak ayarlandı mı?¶
Önceki denetimine benzer şekilde, bu yapılandırma dosyaları için sıkı erişim izinlerini ayarlamanız önerilir.
Aşağıdaki komutları çalıştırın:
$ stat -L -c "%a" /etc/manila/manila.conf
$ stat -L -c "%a" /etc/manila/api-paste.ini
$ stat -L -c "%a" /etc/manila/policy.json
$ stat -L -c "%a" /etc/manila/rootwrap.conf
$ stat -L -c "%a" /etc/manila
A broader restriction is also possible: if the containing directory is set to 750, the guarantee is made that newly created files inside this directory would have the desired permissions.
Pass: If permissions are set to 640 or stricter, or the containing directory is set to 750. The permissions of 640 translates into owner r/w, group r, and no rights to others i.e. “u=rw,g=r,o=”. Note that with Check-Shared-01: Yapılandırma dosyalarının kullanıcı/grup sahipliği root/manila mı? and permissions set to 640, root has read/write access and manila has read access to these configuration files. The access rights can also be validated using the following command. This command will only be available on your system if it supports ACLs.
$ getfacl --tabular -a /etc/manila/manila.conf
getfacl: Removing leading '/' from absolute path names
# file: etc/manila/manila.conf
USER root rw-
GROUP manila r--
mask r--
other ---
Başarısız: Eğer yetkileri en az 640 değilse.
Check-Shared-03: Kimlik doğrulama için OpenStack Kimlik kullanıldı mı?¶
Not
This item only applies to OpenStack releases Rocky and before as
auth_strategy was deprecated in Stein.
OpenStack, noauth ve keystone gibi çeşitli doğrulama stratejilerini desteklemektedir. noauth stratejisi kullanılıyorsa, kullanıcılar herhangi bir kimlik denetimi olmaksızın OpenStack servisleri ile etkileşimde bulunabilirler. Bu, bir saldırgan OpenStack bileşenlerine yetkisiz erişebileceğinden potansiyel bir risk oluşturabilir. Bu nedenle, tüm servislerin servis hesaplarını kullanarak keystone ile doğrulanması önemle tavsiye edilir.
Başarılı: manila.conf dosyasında [DEFAULT] bölümündeki auth_strategy parametresinin değeri keystone ise.
Başarısız: Eğer /etc/cinder/cinder.conf altında [DEFAULT] bölümünde auth_strategy değeri noauth ise.
Check-Shared-04: Kimlik doğrulama için TLS etkinleştirildi mi?¶
OpenStack bileşenleri çeşitli protokolleri kullanarak birbirleriyle iletişim kurar ve iletişim hassas veya gizli verileri içerebilir. Hassas bilgilerinize erişebilmek için bir saldırgan kanalda kulak misafiri deneyebilir. Tüm bileşenler, güvenli bir iletişim protokolü kullanarak birbirleriyle iletişim kurmalıdır.
Pass: If value of parameter www_authenticate_uri under
[keystone_authtoken] section in /etc/manila/manila.conf is set to
Identity API endpoint starting with https:// and value of parameter
insecure under the same [keystone_authtoken] section in the same
/etc/manila/manila.conf is set to False.
Fail: If value of parameter www_authenticate_uri under
[keystone_authtoken] section in /etc/manila/manila.conf is not set to
Identity API endpoint starting with https:// or value of parameter
insecure under the same [keystone_authtoken] section in the same
/etc/manila/manila.conf is set to True.
Check-Shared-05: Paylaşımlı Dosya Sistemleri, Hesaplama ile TLS üzerinden mi haberleşiyor?¶
Not
This item only applies to OpenStack releases Train and before as
auth_strategy was deprecated in Ussuri.
OpenStack bileşenleri çeşitli protokolleri kullanarak birbirleriyle iletişim kurar ve iletişim hassas veya gizli verileri içerebilir. Hassas bilgilerinize erişebilmek için bir saldırgan kanalda kulak misafiri deneyebilir. Böylece, tüm bileşenler, güvenli bir iletişim protokolü kullanarak birbirleriyle iletişim kurmalıdır.
Başarılı: manila.conf dosyasında [DEFAULT] bölümündeki nova_api_insecure parametresinin değeri False ise.
Başarısız: manila.conf dosyasında [DEFAULT] bölümündeki nova_api_insecure parametresinin değeri True ise.
Check-Shared-06: Paylaşımlı Dosya Sistemleri Ağ ile TLS üzerinden mi haberleşiyor?¶
Not
This item only applies to OpenStack releases Train and before as
auth_strategy was deprecated in Ussuri.
Önceki kontrole benzer olarak (Check-Shared-05: Paylaşımlı Dosya Sistemleri, Hesaplama ile TLS üzerinden mi haberleşiyor?), tüm bileşenlerin birbirleriyle güvenli bir iletişim protokolü kullanarak iletişim kurmaları önerilir.
Başarılı: manila.conf dosyasında [DEFAULT] bölümündeki neutron_api_insecure parametresinin değeri False ise.
Başarısız: manila.conf dosyasında [DEFAULT] bölümündeki neutron_api_insecure parametresinin değeri True ise.
Check-Shared-07: Paylaşımlı Dosya Sistemleri Blok Depolama ile TLS üzerinden mi haberleşiyor?¶
Not
This item only applies to OpenStack releases Train and before as
auth_strategy was deprecated in Ussuri.
Önceki kontrole benzer olarak (Check-Shared-05: Paylaşımlı Dosya Sistemleri, Hesaplama ile TLS üzerinden mi haberleşiyor?), tüm bileşenlerin birbirleriyle güvenli bir iletişim protokolü kullanarak iletişim kurmaları önerilir.
Başarılı: manila.conf dosyasında [DEFAULT] bölümündeki cinder_api_insecure parametresinin değeri False ise.
Başarısız: manila.conf dosyasında [DEFAULT] bölümündeki cinder_api_insecure parametresinin değeri True ise.
Check-Shared-08: İstek gövdesinin azami boyutu öntanımlı (114688) olarak ayarlandı mı?¶
İstek başına azami gövde boyutu tanımlanmadıysa, saldırgan, servisin çökmesine neden olan ve sonuçta Hizmet Reddine neden olan büyük boyutlu keyfi bir OSAPI isteği oluşturabilir. Maksimum değeri atamak, kötü niyetli büyük boyutlu talebin engellenmesini sağlayarak hizmetin devamlılığını sağlar.
Başarılı: manila.conf dosyasında [oslo_middleware] bölümündeki max_request_body_size parametresinin değeri 114688 ise ya da manila.conf dosyasında [oslo_middleware] bölümündeki osapi_max_request_body_size parametresinin değeri 114688 ise. [DEFAULT] altındaki osapi_max_request_body_size parametresi artık kullanılmıyor, [oslo_middleware]/max_request_body_size kullanmak daha iyi.
Başarısız: manila.conf dosyasında [oslo_middleware] bölümündeki max_request_body_size parametresinin değeri 114688 değil ise ya da manila.conf dosyasında [oslo_middleware] bölümündeki osapi_max_request_body_size parametresinin değeri 114688 değil ise.
