<div dir="ltr"><div><div>Hiding secrets in the log is something we decided to do, so that's a straight bug - please raise it and we can look at fixing it.<br><br></div>As far as plain text passwords in the database, there has not been a strong, well formed argument for doing it some other way. You could put some shared secret in cinder.conf for all c-vol nodes maybe? The threat analysis doesn't really work though - if you've got DB access then you can arrange for any user to have any permissions to do anything, so the fact that the secret is there is only useful if a) you only have read access to the db and b) you have free access to the undercloud network. If you have free access to the undercloud network then there are loads of attacks (injecting into rabbit being a possibility). Basically, it is far enough down the security issue risk list that it hasn't been worth the complexity of solving.<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 16 April 2015 at 15:54, Yogesh Prasad <span dir="ltr"><<a href="mailto:yogesh.prasad@cloudbyte.com" target="_blank">yogesh.prasad@cloudbyte.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_default"><div class="gmail_default"><font face="trebuchet ms, sans-serif">Hi,</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">I am wondering why screen-c-vol.log is displaying the CHAP secret.</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif">Logs:</font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><div class="gmail_default">2015-04-16 16:04:23.288 7306 DEBUG oslo_concurrency.processutils [req-23c699df-7b21-48d2-ba14-d8ed06642050 ce8dccba9ccf48fb956060b3e54187a2 4ad219788df049e0b131e17f603d5faa - - -] CMD "sudo cinder-rootwrap /etc/cinder/rootwrap.conf iscsiadm -m node -T iqn.2015-04.acc1.tsm1:acc171fe6fc15fcc4bd4a841594b7876e3df -p <a href="http://192.10.44.48:3260" target="_blank">192.10.44.48:3260</a> --op update -n<b><font color="#38761d"> </font><font color="#0000ff">node.session.auth.password -v ***" returned</font><font color="#741b47">:</font></b> 0 in 0.088s execute /usr/local/lib/python2.7/dist-packages/oslo_concurrency/processutils.py:225</div><div class="gmail_default"><br></div><div class="gmail_default">Above log hides the secret.</div><div class="gmail_default"><br></div><div class="gmail_default">2015-04-16 16:04:23.290 7306 DEBUG cinder.brick.initiator.connector [req-23c699df-7b21-48d2-ba14-d8ed06642050 ce8dccba9ccf48fb956060b3e54187a2 4ad219788df049e0b131e17f603d5faa - - -] <font color="#0000ff"><b>iscsiadm ('--op', 'update', '-n', 'node.session.auth.password', '-v', u'fakeauthgroupchapsecret')</b></font>: stdout= stderr= _run_iscsiadm /opt/stack/cinder/cinder/brick/initiator/connector.py:455</div><div class="gmail_default"><br></div><div class="gmail_default">However, this one does not hide the secret.</div><div class="gmail_default"><br></div><div class="gmail_default">In addition, i find that the CHAP credentials are stored as plain string the database table (volumes).</div><div class="gmail_default"><br></div><div class="gmail_default">I guess these are security risks in the current implementation. Any comments ?</div><div class="gmail_default"><br></div></font></div><div class="gmail_default"><font face="trebuchet ms, sans-serif"><br></font></div></div><div><div><div dir="ltr"><div><div dir="ltr"><div><div style="font-family:arial,sans-serif;font-size:12.8000001907349px"><font color="#000000" face="trebuchet ms, sans-serif">Regards,</font></div><font color="#000000" face="trebuchet ms, sans-serif">Yogesh</font><br><div style="font-family:arial,sans-serif;font-size:12.8000001907349px"><a href="http://www.cloudbyte.com/" style="color:rgb(17,85,204)" target="_blank"><font color="#0000ff" face="trebuchet ms, sans-serif"><i>CloudByte Inc.</i></font></a></div></div></div></div></div></div></div>
</div>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature">Duncan Thomas</div>
</div>