Scénario #29368
Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.
0%
Description
Une interface d'administration est accessible sans authentification.
Risque
Un attaquant pourrait récupérer des informations sensibles et/ou
modifier le comportement de l'équipement.
Recommandation
Mettre en place une authentification robuste sur les interfaces d'administration
Il est recommandé de mettre en place une authentification robuste afin
de protéger l'interface d'administration.
-> exemple sur eSSL 10.69.214.1:8090/agents/6714/ où on peut avoir les infos système dont les interfaces réseau.
History
#1 Updated by Joël Cuissinat almost 4 years ago
- File exterieur_admin.png View added
- Subject changed from les informations agents ne sont pas assez restreintes sur le port 8090 Implémenter une règle iptables ou faire trouner sur la loopback. to Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.
- Parent task deleted (
#29284)
Je précise que dans les modèles par défaut livrés sur Amon, seules les adresses "ip_admin_ethX" peuvent accéder au port 8090.
Sur les autres modules on pourrait envisager la restriction à l'aide d'eole-firewall ?
# rgrep -C1 8090 /usr/share/eole/creole/dicos/99_zephir-stats.xml
<service_access service='z_stats'>
<port>8090</port>
</service_access>
On pourrait lui appliquer une "service_accesslist" comme ce qui est en place pour l'EAD2 (cf. /usr/share/eole/creole/dicos/22_ead.xml).
#2 Updated by Joël Cuissinat almost 4 years ago
- Tracker changed from Tâche to Scénario
- Due date set to 01/17/2020
- Target version changed from sprint 2019 48-50 Equipe MENSR to sprint 2019 51-03 Equipe MENSR
- Story points set to 1.0
#3 Updated by Joël Cuissinat almost 4 years ago
- Status changed from Nouveau to Terminé (Sprint)
#4 Updated by Joël Cuissinat over 3 years ago
- Status changed from Terminé (Sprint) to Nouveau
#5 Updated by Joël Cuissinat over 3 years ago
- Target version changed from sprint 2019 51-03 Equipe MENSR to sprint 2020 04-06 Equipe MENSR
#6 Updated by Joël Cuissinat over 3 years ago
- Release set to EOLE 2.7.1.3
#7 Updated by Joël Cuissinat over 3 years ago
- Target version changed from sprint 2020 04-06 Equipe MENSR to sprint 2020 07-09 Equipe MENSR
#8 Updated by Joël Cuissinat over 3 years ago
Joël Cuissinat a écrit :
Je précise que dans les modèles par défaut livrés sur Amon, seules les adresses "ip_admin_ethX" peuvent accéder au port 8090.
Sur les autres modules on pourrait envisager la restriction à l'aide d'eole-firewall ?
[...]On pourrait lui appliquer une "service_accesslist" comme ce qui est en place pour l'EAD2 (cf. /usr/share/eole/creole/dicos/22_ead.xml).
En fait, cette restriction est déjà en place depuis EOLE 2.3 !
root@eolebase:~# rgrep -A6 z_stats /usr/share/eole/creole/dicos/99_zephir-stats.xml
<service>z_stats</service>
<service_access service='z_stats'>
<port>8090</port>
</service_access>
<service_restriction service='z_stats'>
<ip interface='eth0' netmask='netmask_admin_eth0' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth0</ip>
<ip interface='eth1' netmask='netmask_admin_eth1' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth1</ip>
<ip interface='eth2' netmask='netmask_admin_eth2' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth2</ip>
<ip interface='eth3' netmask='netmask_admin_eth3' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth3</ip>
<ip interface='eth4' netmask='netmask_admin_eth4' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth4</ip>
</service_restriction>
Faut-il aller vraiment plus loin ?
#9 Updated by Joël Cuissinat over 3 years ago
- Status changed from Nouveau to Terminé (Sprint)
- Assigned To set to Joël Cuissinat