Scénario #29368
Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.
0%
Description
Une interface d'administration est accessible sans authentification.
Risque
Un attaquant pourrait récupérer des informations sensibles et/ou
modifier le comportement de l'équipement.
Recommandation
Mettre en place une authentification robuste sur les interfaces d'administration
Il est recommandé de mettre en place une authentification robuste afin
de protéger l'interface d'administration.
-> exemple sur eSSL 10.69.214.1:8090/agents/6714/ où on peut avoir les infos système dont les interfaces réseau.
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Fichier exterieur_admin.png Voir ajouté
- Sujet changé de les informations agents ne sont pas assez restreintes sur le port 8090 Implémenter une règle iptables ou faire trouner sur la loopback. à Les informations agents ne sont pas assez restreintes sur le port 8090 - Implémenter une règle iptables ou faire tourner sur la loopback.
- Tâche parente
#29284supprimé
Je précise que dans les modèles par défaut livrés sur Amon, seules les adresses "ip_admin_ethX" peuvent accéder au port 8090.
Sur les autres modules on pourrait envisager la restriction à l'aide d'eole-firewall ?
# rgrep -C1 8090 /usr/share/eole/creole/dicos/99_zephir-stats.xml
<service_access service='z_stats'>
<port>8090</port>
</service_access>
On pourrait lui appliquer une "service_accesslist" comme ce qui est en place pour l'EAD2 (cf. /usr/share/eole/creole/dicos/22_ead.xml).
#2 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Tracker changé de Tâche à Scénario
- Echéance mis à 17/01/2020
- Version cible changé de sprint 2019 48-50 Equipe MENSR à sprint 2019 51-03 Equipe MENSR
- Points de scénarios mis à 1.0
#3 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Statut changé de Nouveau à Terminé (Sprint)
#4 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Statut changé de Terminé (Sprint) à Nouveau
#5 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Version cible changé de sprint 2019 51-03 Equipe MENSR à sprint 2020 04-06 Equipe MENSR
#6 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Release mis à EOLE 2.7.1.3
#7 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Version cible changé de sprint 2020 04-06 Equipe MENSR à sprint 2020 07-09 Equipe MENSR
#8 Mis à jour par Joël Cuissinat il y a environ 4 ans
Joël Cuissinat a écrit :
Je précise que dans les modèles par défaut livrés sur Amon, seules les adresses "ip_admin_ethX" peuvent accéder au port 8090.
Sur les autres modules on pourrait envisager la restriction à l'aide d'eole-firewall ?
[...]On pourrait lui appliquer une "service_accesslist" comme ce qui est en place pour l'EAD2 (cf. /usr/share/eole/creole/dicos/22_ead.xml).
En fait, cette restriction est déjà en place depuis EOLE 2.3 !
root@eolebase:~# rgrep -A6 z_stats /usr/share/eole/creole/dicos/99_zephir-stats.xml
<service>z_stats</service>
<service_access service='z_stats'>
<port>8090</port>
</service_access>
<service_restriction service='z_stats'>
<ip interface='eth0' netmask='netmask_admin_eth0' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth0</ip>
<ip interface='eth1' netmask='netmask_admin_eth1' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth1</ip>
<ip interface='eth2' netmask='netmask_admin_eth2' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth2</ip>
<ip interface='eth3' netmask='netmask_admin_eth3' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth3</ip>
<ip interface='eth4' netmask='netmask_admin_eth4' netmask_type='SymLinkOption' ip_type='SymLinkOption'>ip_admin_eth4</ip>
</service_restriction>
Faut-il aller vraiment plus loin ?
#9 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Statut changé de Nouveau à Terminé (Sprint)
- Assigné à mis à Joël Cuissinat