<div dir="ltr">Hi Jeffrey,<div><br></div><div>You are right with the rootwrap file since it is the root wrapper of the specific service, e.g. nova. Then we should permit it as root:root and only the owner can write. </div><div><br></div><div>However, with config file as nova.conf or in this case e.g. kolla.conf, it should be kolla:kolla and only owner can write as well, it means 644 since the kolla service is run under the name of kolla user, it is the same with other services in OpenStack.</div><div><br></div><div>With the folder, e.g. /etc/kolla or /etc/nova, it should be also read/write/executable with kolla user and kolla group since kolla service running with kolla user should have permission to get information from kolla.conf.</div><div><br></div><div>Br,</div><div><br></div><div>Tuan</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 24, 2016 at 3:22 AM, Jeffrey Zhang <span dir="ltr"><<a href="mailto:zhang.lei.fly@gmail.com" target="_blank">zhang.lei.fly@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Using the same user for running service and the configuration files is<br>
danger. i.e. the service running user shouldn't be change the<br>
configuration files.<br>
<br>
a simple attack like:<br>
* a hacker hacked into nova-api container with nova user<br>
* he can change the /etc/nova/rootwrap.conf file and<br>
/etc/nova/rootwrap.d file, which he can get much greater authority<br>
with sudo<br>
* he also can change the /etc/nova/nova.conf file to use another<br>
privsep_command.helper_command to get greater authority<br>
    [privsep_entrypoint]<br>
    helper_command=sudo nova-rootwrap /etc/nova/rootwrap.conf<br>
privsep-helper --config-file /etc/nova/nova.conf<br>
<br>
So right rule should be: do not let the service running user have<br>
write permission to configuration files,<br>
<br>
about for the nova.conf file, i think root:root with 644 permission<br>
or root:nova with 640 should be enough<br>
for the directory file, root:root with 755 or root:nova with 750<br>
should be enough.<br>
<div class="HOEnZb"><div class="h5"><br>
On Tue, Aug 23, 2016 at 11:11 PM, Steven Dake (stdake) <<a href="mailto:stdake@cisco.com">stdake@cisco.com</a>> wrote:<br>
><br>
><br>
><br>
><br>
><br>
> On 8/23/16, 7:05 AM, "Gerard Braad" <<a href="mailto:me@gbraad.nl">me@gbraad.nl</a>> wrote:<br>
><br>
>>On Tue, Aug 23, 2016 at 9:56 PM, lương hữu tuấn <<a href="mailto:tuantuluong@gmail.com">tuantuluong@gmail.com</a>> wrote:<br>
>>> I also prefer a dedicated user ("kolla" seems the best choice) as same > On Tue, Aug 23, 2016 at 3:51 PM, Paul Bourke <<a href="mailto:paul.bourke@oracle.com">paul.bourke@oracle.com</a>> wrote:<br>
>>>> In my experience operators prefer a dedicated user (kolla:kolla), though I<br>
>><br>
>>kolla:kolla seems more logical and simpler to reason about.<br>
>><br>
><br>
> kolla:kolla still works with multi-user approach and permissions 660 on /etc/kolla files.<br>
><br>
> Regards<br>
> -steve<br>
><br>
>><br>
>>--<br>
>><br>
>>   Gerard Braad | <a href="http://gbraad.nl" rel="noreferrer" target="_blank">http://gbraad.nl</a><br>
>>   [ Doing Open Source Matters ]<br>
>><br>
>>____________________________<wbr>______________________________<wbr>________________<br>
>>OpenStack Development Mailing List (not for usage questions)<br>
>>Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
>><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
> ______________________________<wbr>______________________________<wbr>______________<br>
> OpenStack Development Mailing List (not for usage questions)<br>
> Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Regards,<br>
Jeffrey Zhang<br>
Blog: <a href="http://xcodest.me" rel="noreferrer" target="_blank">http://xcodest.me</a><br>
</font></span><div class="HOEnZb"><div class="h5"><br>
______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
</div></div></blockquote></div><br></div>