<div dir="ltr">The proposal look ok to me.<div><br></div><div>But I would also like to highlight one thing - it seems you can&#39;t access secured cache properties using CLI. This seems wrong to me (if you can invoke the cli, in 99,99% of the cases you have access to the machine, so you can do whatever you want). It also breaks healthchecks in Docker image. </div><div><br></div><div>I would like to make sure we will address those concerns.</div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Apr 19, 2017 at 10:59 AM Tristan Tarrant &lt;<a href="mailto:ttarrant@redhat.com">ttarrant@redhat.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Currently the &quot;protected cache access&quot; security is implemented as follows:<br>
<br>
- if authorization is enabled || client is on loopback<br>
   allow<br>
<br>
The first check also implies that authentication needs to be in place,<br>
as the authorization checks need a valid Subject.<br>
<br>
Unfortunately authorization is very heavy-weight and actually overkill<br>
even for &quot;normal&quot; secure usage.<br>
<br>
My proposal is as follows:<br>
- the &quot;default&quot; configuration files are &quot;secure&quot; by default<br>
- provide clearly marked &quot;unsecured&quot; configuration files, which the user<br>
can use<br>
- drop the &quot;protected cache&quot; check completely<br>
<br>
And definitely NO to a dev switch.<br>
<br>
Tristan<br>
<br>
On 19/04/2017 10:05, Galder Zamarreño wrote:<br>
&gt; Agree with Wolf. Let&#39;s keep it simple by just providing extra configuration files for dev/unsecure envs.<br>
&gt;<br>
&gt; Cheers,<br>
&gt; --<br>
&gt; Galder Zamarreño<br>
&gt; Infinispan, Red Hat<br>
&gt;<br>
&gt;&gt; On 15 Apr 2017, at 12:57, Wolf Fink &lt;<a href="mailto:wfink@redhat.com" target="_blank">wfink@redhat.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; I would think a &quot;switch&quot; can have other impacts as you need to check it in the code - and might have security leaks here<br>
&gt;&gt;<br>
&gt;&gt; So what is wrong with some configurations which are the default and secured.<br>
&gt;&gt; and a &quot;*-dev or *-unsecure&quot; configuration to start easy.<br>
&gt;&gt; Also this can be used in production if there is no need for security<br>
&gt;&gt;<br>
&gt;&gt; On Thu, Apr 13, 2017 at 4:13 PM, Sebastian Laskawiec &lt;<a href="mailto:slaskawi@redhat.com" target="_blank">slaskawi@redhat.com</a>&gt; wrote:<br>
&gt;&gt; I still think it would be better to create an extra switch to run infinispan in &quot;development mode&quot;. This means no authentication, no encryption, possibly with JGroups stack tuned for fast discovery (especially in Kubernetes) and a big warning saying &quot;You are in development mode, do not use this in production&quot;.<br>
&gt;&gt;<br>
&gt;&gt; Just something very easy to get you going.<br>
&gt;&gt;<br>
&gt;&gt; On Thu, Apr 13, 2017 at 12:16 PM Galder Zamarreño &lt;<a href="mailto:galder@redhat.com" target="_blank">galder@redhat.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; --<br>
&gt;&gt; Galder Zamarreño<br>
&gt;&gt; Infinispan, Red Hat<br>
&gt;&gt;<br>
&gt;&gt;&gt; On 13 Apr 2017, at 09:50, Gustavo Fernandes &lt;<a href="mailto:gustavo@infinispan.org" target="_blank">gustavo@infinispan.org</a>&gt; wrote:<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; On Thu, Apr 13, 2017 at 6:38 AM, Galder Zamarreño &lt;<a href="mailto:galder@redhat.com" target="_blank">galder@redhat.com</a>&gt; wrote:<br>
&gt;&gt;&gt; Hi all,<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; As per some discussions we had yesterday on IRC w/ Tristan, Gustavo and Sebastian, I&#39;ve created a docker image snapshot that reverts the change stop protected caches from requiring security enabled [1].<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; In other words, I&#39;ve removed [2]. The reason for temporarily doing that is because with the change as is, the changes required for a default server distro require that the entire cache manager&#39;s security is enabled. This is in turn creates a lot of problems with health and running checks used by Kubernetes/OpenShift amongst other things.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Judging from our discussions on IRC, the idea is for such change to be present in 9.0.1, but I&#39;d like to get final confirmation from Tristan et al.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; +1<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Regarding the &quot;security by default&quot; discussion, I think we should ship configurations cloud.xml, clustered.xml and standalone.xml with security enabled and disabled variants, and let users<br>
&gt;&gt;&gt; decide which one to pick based on the use case.<br>
&gt;&gt;<br>
&gt;&gt; I think that&#39;s a better idea.<br>
&gt;&gt;<br>
&gt;&gt; We could by default have a secured one, but switching to an insecure configuration should be doable with minimal effort, e.g. just switching config file.<br>
&gt;&gt;<br>
&gt;&gt; As highlighted above, any secured configuration should work out-of-the-box with our docker images, e.g. WRT healthy/running checks.<br>
&gt;&gt;<br>
&gt;&gt; Cheers,<br>
&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Gustavo.<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; Cheers,<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; [1] <a href="https://hub.docker.com/r/galderz/infinispan-server/tags/" rel="noreferrer" target="_blank">https://hub.docker.com/r/galderz/infinispan-server/tags/</a> (9.0.1-SNAPSHOT tag for anyone interested)<br>
&gt;&gt;&gt; [2] <a href="https://github.com/infinispan/infinispan/blob/master/server/hotrod/src/main/java/org/infinispan/server/hotrod/CacheDecodeContext.java#L114-L118" rel="noreferrer" target="_blank">https://github.com/infinispan/infinispan/blob/master/server/hotrod/src/main/java/org/infinispan/server/hotrod/CacheDecodeContext.java#L114-L118</a><br>
&gt;&gt;&gt; --<br>
&gt;&gt;&gt; Galder Zamarreño<br>
&gt;&gt;&gt; Infinispan, Red Hat<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; On 30 Mar 2017, at 14:25, Tristan Tarrant &lt;<a href="mailto:ttarrant@redhat.com" target="_blank">ttarrant@redhat.com</a>&gt; wrote:<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; Dear all,<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; after a mini chat on IRC, I wanted to bring this to everybody&#39;s attention.<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; We should make the Hot Rod endpoint require authentication in the<br>
&gt;&gt;&gt;&gt; out-of-the-box configuration.<br>
&gt;&gt;&gt;&gt; The proposal is to enable the PLAIN (or, preferably, DIGEST) SASL<br>
&gt;&gt;&gt;&gt; mechanism against the ApplicationRealm and require users to run the<br>
&gt;&gt;&gt;&gt; add-user script.<br>
&gt;&gt;&gt;&gt; This would achieve two goals:<br>
&gt;&gt;&gt;&gt; - secure out-of-the-box configuration, which is always a good idea<br>
&gt;&gt;&gt;&gt; - access to the &quot;protected&quot; schema and script caches which is prevented<br>
&gt;&gt;&gt;&gt; when not on loopback on non-authenticated endpoints.<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; Tristan<br>
&gt;&gt;&gt;&gt; --<br>
&gt;&gt;&gt;&gt; Tristan Tarrant<br>
&gt;&gt;&gt;&gt; Infinispan Lead<br>
&gt;&gt;&gt;&gt; JBoss, a division of Red Hat<br>
&gt;&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt;&gt; infinispan-dev mailing list<br>
&gt;&gt;&gt;&gt; <a href="mailto:infinispan-dev@lists.jboss.org" target="_blank">infinispan-dev@lists.jboss.org</a><br>
&gt;&gt;&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/infinispan-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/infinispan-dev</a><br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt; infinispan-dev mailing list<br>
&gt;&gt;&gt; <a href="mailto:infinispan-dev@lists.jboss.org" target="_blank">infinispan-dev@lists.jboss.org</a><br>
&gt;&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/infinispan-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/infinispan-dev</a><br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt; infinispan-dev mailing list<br>
&gt;&gt;&gt; <a href="mailto:infinispan-dev@lists.jboss.org" target="_blank">infinispan-dev@lists.jboss.org</a><br>
&gt;&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/infinispan-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/infinispan-dev</a><br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; infinispan-dev mailing list<br>
&gt;&gt; <a href="mailto:infinispan-dev@lists.jboss.org" target="_blank">infinispan-dev@lists.jboss.org</a><br>
&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/infinispan-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/infinispan-dev</a><br>
&gt;&gt; --<br>
&gt;&gt; SEBASTIAN ŁASKAWIEC<br>
&gt;&gt; INFINISPAN DEVELOPER<br>
&gt;&gt; Red Hat EMEA<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; infinispan-dev mailing list<br>
&gt;&gt; <a href="mailto:infinispan-dev@lists.jboss.org" target="_blank">infinispan-dev@lists.jboss.org</a><br>
&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/infinispan-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/infinispan-dev</a><br>
&gt;&gt;<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; infinispan-dev mailing list<br>
&gt;&gt; <a href="mailto:infinispan-dev@lists.jboss.org" target="_blank">infinispan-dev@lists.jboss.org</a><br>
&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/infinispan-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/infinispan-dev</a><br>
&gt;<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; infinispan-dev mailing list<br>
&gt; <a href="mailto:infinispan-dev@lists.jboss.org" target="_blank">infinispan-dev@lists.jboss.org</a><br>
&gt; <a href="https://lists.jboss.org/mailman/listinfo/infinispan-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/infinispan-dev</a><br>
&gt;<br>
<br>
--<br>
Tristan Tarrant<br>
Infinispan Lead<br>
JBoss, a division of Red Hat<br>
_______________________________________________<br>
infinispan-dev mailing list<br>
<a href="mailto:infinispan-dev@lists.jboss.org" target="_blank">infinispan-dev@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/infinispan-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/infinispan-dev</a></blockquote></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature"><div dir="ltr"><p class="inbox-inbox-fullname-container" style="box-sizing:border-box;color:rgb(0,0,0);font-family:overpass,sans-serif;font-weight:bold;margin:0px;padding:0px;font-size:14px;text-transform:uppercase"><span class="inbox-inbox-firstname-container" style="box-sizing:border-box">SEBASTIAN</span><span class="inbox-inbox-Apple-converted-space"> </span><span class="inbox-inbox-lastname-container" style="box-sizing:border-box">ŁASKAWIEC</span></p><p class="inbox-inbox-position-container" style="box-sizing:border-box;color:rgb(0,0,0);font-family:overpass,sans-serif;font-size:10px;margin:0px 0px 4px;text-transform:uppercase"><span class="inbox-inbox-position" style="box-sizing:border-box">INFINISPAN DEVELOPER</span></p><p class="inbox-inbox-legal-container" style="box-sizing:border-box;font-family:overpass,sans-serif;margin:0px;font-size:10px;color:rgb(153,153,153)"><a class="inbox-inbox-redhat-anchor" href="https://www.redhat.com/" target="_blank" style="box-sizing:border-box;color:rgb(0,136,206);margin:0px;text-decoration:none">Red Hat<span class="inbox-inbox-Apple-converted-space"> </span><span style="box-sizing:border-box">EMEA</span></a></p><table border="0" style="box-sizing:border-box;color:rgb(0,0,0);font-family:overpass,sans-serif;font-size:medium"><tbody style="box-sizing:border-box"><tr style="box-sizing:border-box"><td width="100px" style="box-sizing:border-box"><a href="https://red.ht/sig" style="box-sizing:border-box"><img width="90" height="auto" style="box-sizing: border-box;" src="https://www.redhat.com/files/brand/email/sig-redhat.png"></a></td></tr></tbody></table></div></div>