<div dir="ltr"><div>IIUC from Sean's reply  most of the heavyweight configuration management frameworks already address the security concern.<br></div><div><br></div><div>For tripleo the first issue to address is in puppet-nova where the dbs are currently configured for every nova service. The fix seems trivial - <a href="https://review.opendev.org/755689" target="_blank">https://review.opendev.org/755689</a>. I also think that should be completely safe to backport this to all stable branches.</div><div><br></div><div>The tripleo changes in <a href="https://review.opendev.org/#/c/718552/" target="_blank">https://review.opendev.org/#/c/718552/</a> are not strictly necessary to remove the db creds from nova.conf. However I need to go further, also removing the hieradata that contains the db creds since completely removing the db creds from the compute hosts is the ultimate goal here.<br></div><div><br></div><div>So when the configuration management frameworks are all good then what are we actually concerned about security-wise? Is it just operators that roll their own deployments?</div><div><br></div><div>Cheers,</div><div>Ollie</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 11 Nov 2020 at 16:37, Balázs Gibizer <balazs.gibizer@est.tech> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Dear packagers and deployment engine developers,<br>
<br>
Since Icehouse nova-compute service does not need any database <br>
configuration as it uses the message bus to access data in the database <br>
via the conductor service. Also, the nova configuration guide states <br>
that the nova-compute service should not have the <br>
[api_database]connection config set. Having any DB credentials <br>
configured for the nova-compute is a security risk as well since that <br>
service runs close to the hypervisor. Since Rocky[1] nova-compute <br>
service fails if you configure API DB credentials and set upgrade_level <br>
config to 'auto'.<br>
<br>
Now we are proposing a patch[2] that makes nova-compute fail at startup <br>
if the [database]connection or the [api_database]connection is <br>
configured. We know that this breaks at least the rpm packaging, debian <br>
packaging, and puppet-nova. The problem there is that in an all-in-on <br>
deployment scenario the nova.conf file generated by these tools is <br>
shared between all the nova services and therefore nova-compute sees DB <br>
credentials. As a counter-example, devstack generates a separate <br>
nova-cpu.conf and passes that to the nova-compute service even in an <br>
all-in-on setup.<br>
<br>
The nova team would like to merge [2] during Wallaby but we are OK to <br>
delay the patch until Wallaby Milestone 2 so that the packagers and <br>
deployment tools can catch up. Please let us know if you are impacted <br>
and provide a way to track when you are ready with the modification <br>
that allows [2] to be merged.<br>
<br>
There was a long discussion on #openstack-nova today[3] around this <br>
topic. So you can find more detailed reasoning there[3].<br>
<br>
Cheers,<br>
gibi<br>
<br>
[1] <br>
<a href="https://github.com/openstack/nova/blob/dc93e3b510f53d5b2198c8edd22528f0c899617e/nova/compute/rpcapi.py#L441-L457" rel="noreferrer" target="_blank">https://github.com/openstack/nova/blob/dc93e3b510f53d5b2198c8edd22528f0c899617e/nova/compute/rpcapi.py#L441-L457</a><br>
[2] <a href="https://review.opendev.org/#/c/762176" rel="noreferrer" target="_blank">https://review.opendev.org/#/c/762176</a><br>
[3] <br>
<a href="http://eavesdrop.openstack.org/irclogs/%23openstack-nova/%23openstack-nova.2020-11-11.log.html#t2020-11-11T10:51:23" rel="noreferrer" target="_blank">http://eavesdrop.openstack.org/irclogs/%23openstack-nova/%23openstack-nova.2020-11-11.log.html#t2020-11-11T10:51:23</a> <br>
-- <br>
<a href="http://eavesdrop.openstack.org/irclogs/%23openstack-nova/%23openstack-nova.2020-11-11.log.html#t2020-11-11T14:40:51" rel="noreferrer" target="_blank">http://eavesdrop.openstack.org/irclogs/%23openstack-nova/%23openstack-nova.2020-11-11.log.html#t2020-11-11T14:40:51</a><br>
<br>
<br>
<br>
</blockquote></div>