<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 26, 2016 at 3:03 PM, Christian Berendt <span dir="ltr"><<a href="mailto:berendt@betacloud-solutions.de" target="_blank">berendt@betacloud-solutions.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">> On 26 Sep 2016, at 16:43, Sam Yaple <<a href="mailto:samuel@yaple.net">samuel@yaple.net</a>> wrote:<br>
><br>
> So this actually makes it _less_ secure. The 0600 permissions were chosen for a reason.  The nova.conf file has passwords to the DB and rabbitmq. If the configuration files are world readable then those passwords could leak to an unprivileged user on the host.<br>
<br>
</span>Confirmed. Please do not make configuration files world readable.<br>
<br>
We use volumes for the configuration file directories. Why do we not simply use read only volumes? This way we do not have to touch the current implementation (files are owned by the service user with 0600 permissions) and can make the configuration files read only.<br></blockquote><div><br></div><div>This is already done. When I first setup the config bind mounting we did make sure it was read only. See [1]. The way configs work in Kolla is the files from that readonly bind mount are copied into the appropriate directory in the container on container startup.</div><div><br></div><div>[1]  <a href="https://github.com/openstack/kolla/blob/b1f986c3492faa2d5386fc7baabbd6d8e370554a/ansible/roles/nova/tasks/start_compute.yml#L11">https://github.com/openstack/kolla/blob/b1f986c3492faa2d5386fc7baabbd6d8e370554a/ansible/roles/nova/tasks/start_compute.yml#L11</a></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span class="gmail-HOEnZb"><font color="#888888"><br>
Christian.<br>
</font></span><br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br></div></div>