OSSN/1168252

Keystone 配置不应具有世界可读权限

总结

在某些部署中，包含机密信息的 keystone.conf 文件被设置为世界可读。

受影响的服务 / 软件

Keystone, DevStack, 部署

讨论

OpenStack 的部署者必须确保 keystone.conf 不具有世界可读权限。在某些部署中，keystone 配置文件可被安装系统上的所有用户（和进程）读取。该文件应设置为最严格的权限，同时允许系统继续正常运行。

特别是，LDAP 部分的密码配置和 admin_token 包含机密信息

[ldap]
url = ldap://
user = dc=Manager,dc=example,dc=com
password = None <- should be secret
suffix = cn=example,cn=com
use_dumb_member = False
allow_subtree_delete = False
dumb_member = cn=dumb,dc=example,dc=com

[DEFAULT]
admin_token = passw0rd <- should be secret

建议的操作

确保在您的部署中，keystone.conf 使用最严格的权限，同时允许系统继续正常运行。

联系方式 / 参考文献

• 作者：Robert Clark, HP
• 此 OSSN： https://bugs.launchpad.net/ossn/+bug/1168252
• 原始 LaunchPad Bug： https://bugs.launchpad.net/devstack/+bug/1168252
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg
• CVE: CVE-2013-1977