opsi-configed - Redis Warnung

[alhmn]

Guten Tag,

unser opsi-configed zeigt uns seit neustem für Redis diese Warnung an: "Redis configuration settings are not optimal, authentication is not configured".

Es wurde nun bereits ein Passwort "requirepass" in der Redis-Konfiguration hinzugefügt und in der opsiconfd-Konfiguration hinterlegt und die Dienste neugestartet. Die Warnung wird weiterhin angezeigt.

Was kann oder sollte noch angepasst werden, um diese Warnung zu beheben?

MFG

[ThomasG]

Hi,

an diesem "Problem" tüftle ich auch gerade herum.
Ändert sich die Warnung, wenn man den Health-check mit der Option --clear-cache aufruft?

Wie trägt man das Passwort in der Datei opsiconfd.conf ein?
Habe dazu noch nichts finden können.
Oder wird das anders beim Dienst opsiconfd hinterlegt?

Viele Grüße
Thomas

[j.schneider]

Hallo,

im einfachsten Fall kann man folgendes verwenden:

redis.conf

Code: Alles auswählen

unixsocket /path/to/redis-server.sock
requirepass secret

opsiconfd.conf

Code: Alles auswählen

redis-internal-url = unix://default:secret@/path/to/redis-server.sock

Grüße
Jan Schneider

[SirTux]

Soll de jetzt jeder selber was machen oder kommt da noch was diesbezüglich direkt von opsi im Sinne von Secure-By-Default?

[j.schneider]

Die Umgebungen in denen OPSI läuft sind zu unterschiedlich, um das automatisch zu ändern.
Deswegen haben wir es in den Health-Check eingebaut.

Grüße
Jan Schneider

[SirTux]

Naja zumindest für Neuninstallationen sollte es doch einen Mechanismus geben, der das erledigt oder nicht? Klar, Software "unsicher" auszuliefern und dann auf den Security-Teil im Handbuch zu verweisen ist vielerorts gelebte Praxis aber aus meiner Sicht nicht ideal. Ein Großteil der Installation wird diese Härtungen dann vermutlich niemals sehen.

EDIT: Naiverweise würde ich dann übrigens schon hoffen, daß bei den meisten opsi-Servern nicht noch Drölftausend andere Dienste laufen, die dann auch noch Verbindung zum Redis brauchen.

[ThomasG]

redis.conf

Code: Alles auswählen

unixsocket /path/to/redis-server.sock
requirepass secret

opsiconfd.conf

Code: Alles auswählen

redis-internal-url = unix://default:secret@/path/to/redis-server.sock

Danke für die Infos, funzt!

Gibt es beim Passwort besondere Anforderungen?
Jetzt habe ich alle Sonderzeichen rausgeworfen, nachdem ich zwei mal den Fehler:

Code: Alles auswählen

redis.exceptions.ConnectionError: Error 22 connecting to . Invalid argument.

bekommen hatte.

Viele Grüße
Thomas

[j.schneider]

Hallo,

es sollte keine Beschränkung hinsichtlich Sonderzeichen geben.
Es ist aber eine URL, daher bitte URL Encoding verwenden.

Grüße
Jan Schneider

[DK3]

Hallo,

Ich habe die gleiche Meldung im Health-Check.

Wenn ich allerdings die hier genannten Änderungen vornehme startet der opsiconfd und hat nach 10 Sekunden Status: failed.


DK3

[alhmn]

Hallo,

komme leider erst jetzt dazu mich nochmal mit dieser Thematik zu befassen.
Nachdem mir die Meldung erstamlig im Health-Check untergekommen ist, habe ich es wie folgt versucht zu beheben:

1. In redis.conf ergänzt

Code: Alles auswählen

requirepass PASSWORT

2. In opsiconfd.conf die Zeile ergänzt

Code: Alles auswählen

redis-internal-url = redis://:PASSWORT@localhost:6379

Danach entsprechend Dienste neugestartet und Status geprüft. Da opsi selber nach der Anpassung ohne Auffälligkeiten funktioniert, wäre ich davon ausgegangen, dass diese Anpassung geglückt ist. Der Health-Check zeigt die Warnung allerdings weiterhin an.

Fehlt an der Stelle noch eine weitere Anpassung, die der Health-Check hier erwartet?