Project

General

Profile

Scénario #29368

Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.

Added by Thierry Bertrand 4 months ago. Updated about 2 months ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
Category:
-
Start date:
12/06/2019
Due date:
01/17/2020
% Done:

0%

Story points:
1.0
Remaining (hours):
0.00 hour
Velocity based estimate:
Release:
Release relationship:
Auto

Description

Une interface d'administration est accessible sans authentification.
Risque
Un attaquant pourrait récupérer des informations sensibles et/ou
modifier le comportement de l'équipement.
Recommandation
Mettre en place une authentification robuste sur les interfaces d'administration
Il est recommandé de mettre en place une authentification robuste afin
de protéger l'interface d'administration.

-> exemple sur eSSL 10.69.214.1:8090/agents/6714/ où on peut avoir les infos système dont les interfaces réseau.

exterieur_admin.png View - Directive [exterieur_admin] sur exterieur -> bastion (82.5 KB) Joël Cuissinat, 12/11/2019 11:59 AM

History

#1 Updated by Joël Cuissinat 4 months ago

  • File exterieur_admin.png View added
  • Subject changed from les informations agents ne sont pas assez restreintes sur le port 8090 Implémenter une règle iptables ou faire trouner sur la loopback. to Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.
  • Parent task deleted (#29284)

Je précise que dans les modèles par défaut livrés sur Amon, seules les adresses "ip_admin_ethX" peuvent accéder au port 8090.

Sur les autres modules on pourrait envisager la restriction à l'aide d'eole-firewall ?

# rgrep -C1 8090 /usr/share/eole/creole/dicos/99_zephir-stats.xml 
        <service_access service='z_stats'>
            <port>8090</port>
        </service_access>

On pourrait lui appliquer une "service_accesslist" comme ce qui est en place pour l'EAD2 (cf. /usr/share/eole/creole/dicos/22_ead.xml).

#2 Updated by Joël Cuissinat 4 months ago

  • Tracker changed from Tâche to Scénario
  • Due date set to 01/17/2020
  • Target version changed from sprint 2019 48-50 Equipe MENSR to sprint 2019 51-03 Equipe MENSR
  • Story points set to 1.0

#3 Updated by Joël Cuissinat 3 months ago

  • Status changed from Nouveau to Terminé (Sprint)

#4 Updated by Joël Cuissinat 3 months ago

  • Status changed from Terminé (Sprint) to Nouveau

#5 Updated by Joël Cuissinat 3 months ago

  • Target version changed from sprint 2019 51-03 Equipe MENSR to sprint 2020 04-06 Equipe MENSR

#6 Updated by Joël Cuissinat 2 months ago

  • Release set to EOLE 2.7.1.3

#7 Updated by Joël Cuissinat about 2 months ago

  • Target version changed from sprint 2020 04-06 Equipe MENSR to sprint 2020 07-09 Equipe MENSR

#8 Updated by Joël Cuissinat about 2 months ago

Joël Cuissinat a écrit :

Je précise que dans les modèles par défaut livrés sur Amon, seules les adresses "ip_admin_ethX" peuvent accéder au port 8090.

Sur les autres modules on pourrait envisager la restriction à l'aide d'eole-firewall ?
[...]

On pourrait lui appliquer une "service_accesslist" comme ce qui est en place pour l'EAD2 (cf. /usr/share/eole/creole/dicos/22_ead.xml).

En fait, cette restriction est déjà en place depuis EOLE 2.3 !

root@eolebase:~# rgrep -A6 z_stats /usr/share/eole/creole/dicos/99_zephir-stats.xml 
        <service>z_stats</service>
        <service_access service='z_stats'>
            <port>8090</port>
        </service_access>
        <service_restriction service='z_stats'>
            <ip interface='eth0' netmask='netmask_admin_eth0' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth0</ip>
            <ip interface='eth1' netmask='netmask_admin_eth1' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth1</ip>
            <ip interface='eth2' netmask='netmask_admin_eth2' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth2</ip>
            <ip interface='eth3' netmask='netmask_admin_eth3' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth3</ip>
            <ip interface='eth4' netmask='netmask_admin_eth4' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth4</ip>
        </service_restriction>

Faut-il aller vraiment plus loin ?

#9 Updated by Joël Cuissinat about 2 months ago

  • Status changed from Nouveau to Terminé (Sprint)
  • Assigned To set to Joël Cuissinat

Also available in: Atom PDF