<div dir="ltr"><div><div>Alessio,<br><br></div><div>Good idea.  Yes, I'll create GitHub issues to add the missing information to the official docs with the exact page TBD.<br><br>In addition to docs and ansible, would it be useful to add a bootstrap alert to the site-base template for logged in admins that straight up says: "Your instance is not secure  Please consult the docs at XYZ to change default passwords."?  It could run a few checks to make sure the 3 accounts have non-default passwords. That way it would be really hard for system admins to forget to update.  Like Google Chrome does when you need to update.<br><br></div>Regards,<br></div>Patrick Dufour<br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 29, 2017 at 12:13 PM, Alessio Fabiani <span dir="ltr"><<a href="mailto:alessio.fabiani@geo-solutions.it" target="_blank">alessio.fabiani@geo-solutions.it</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Yep, thanks Patrik, there is official documentation warning about this. Can you also double check that all you controls are stated there?<div><br></div><div><a href="http://docs.geonode.org/en/master/tutorials/admin/geoserver_geonode_security/index.html#geonode-and-geoserver-a-a-interaction" target="_blank">http://docs.geonode.org/en/<wbr>master/tutorials/admin/<wbr>geoserver_geonode_security/<wbr>index.html#geonode-and-<wbr>geoserver-a-a-interaction</a><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div class="m_8485395808065641855gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div style="font-size:12.8px">Best Regards,</div><div style="font-size:12.8px">Alessio Fabiani.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><div>==</div><div>GeoServer Professional Services from the experts!</div><div>Visit <a href="http://goo.gl/it488V" target="_blank">http://goo.gl/it488V</a> for more information.</div><div>==</div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Ing. Alessio Fabiani</div><div style="font-size:12.8px">@alfa7691</div><div style="font-size:12.8px"><a href="https://github.com/afabiani?tab=overview" style="font-size:12.8px" target="_blank">github</a><br></div><div style="font-size:12.8px">Founder/Technical Lead</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><div>GeoSolutions S.A.S.</div><div>Via di Montramito 3/A</div><div>55054  Massarosa (LU)</div><div>Italy</div><div>phone: <a href="tel:+39%200584%20962313" value="+390584962313" target="_blank">+39 0584 962313</a></div><div>fax:     <a href="tel:+39%200584%20166%200272" value="+3905841660272" target="_blank">+39 0584 1660272</a></div><div>mob:   +39 <span style="font-size:12.8px"><a href="tel:(331)%20623-3686" value="+13316233686" target="_blank">331 6233686</a></span></div><div><br></div><div><a href="http://www.geo-solutions.it/" target="_blank">http://www.geo-solutions.it</a></div><div><a href="http://twitter.com/geosolutions_it" target="_blank">http://twitter.com/<wbr>geosolutions_it</a></div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">------------------------------<wbr>-------------------------</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><p><span lang="IT"><font size="1"><b>AVVERTENZE AI SENSI DEL D.Lgs. 196/2003</b></font></span></p><p><span lang="IT"><font size="1">Le informazioni contenute in questo messaggio di posta elettronica e/o nel/i file/s allegato/i sono da considerarsi strettamente riservate. Il loro utilizzo è consentito esclusivamente al destinatario del messaggio, per le finalità indicate nel messaggio stesso. Qualora riceviate questo messaggio senza esserne il destinatario, Vi preghiamo cortesemente di darcene notizia via e-mail e di procedere alla distruzione del messaggio stesso, cancellandolo dal Vostro sistema. Conservare il messaggio stesso, divulgarlo anche in parte, distribuirlo ad altri soggetti, copiarlo, od utilizzarlo per finalità diverse, costituisce comportamento contrario ai principi dettati dal D.Lgs. 196/2003.</font></span></p><p><span lang="IT"><font size="1"> </font></span></p><p><font size="1">The information in this message and/or attachments, is intended solely for the attention and use of the named addressee(s) and may be confidential or proprietary in nature or covered by the provisions of privacy act (Legislative Decree June, 30 2003, no.196 - Italy's New Data Protection Code).Any use not in accord with its purpose, any disclosure, reproduction, copying, distribution, or either dissemination, either whole or partial, is strictly forbidden except previous formal approval of the named addressee(s). If you are not the intended recipient, please contact immediately the sender by telephone, fax or e-mail and delete the information in this message that has been received in error. The sender does not give any warranty or accept liability as the content, accuracy or completeness of sent messages and accepts no responsibility  for changes made after they were sent or for other risks which arise as a result of e-mail transmission, viruses, etc.</font></p><p><font size="1">------------------------------<wbr>------------------------------<wbr>---------</font></p></div></div></div></div><div><div class="h5">
<br><div class="gmail_quote">On Wed, Mar 29, 2017 at 6:12 PM, Jeffrey Johnson <span dir="ltr"><<a href="mailto:jeff@terranodo.io" target="_blank">jeff@terranodo.io</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I reverted your changes to the ansible role. It is not appropriate for<br>
you to merge your own (huge) PRs by yourself without review from other<br>
contributors who rely on this role. I've also locked down the branch<br>
so this does not happen again in the future.<br>
<br>
Thanks for the info on the security issue ...<br>
<div><div class="m_8485395808065641855h5"><br>
On Wed, Mar 29, 2017 at 9:05 AM, Patrick Dufour <<a href="mailto:pjdufour.dev@gmail.com" target="_blank">pjdufour.dev@gmail.com</a>> wrote:<br>
> All --<br>
><br>
> I was notified by a colleague to a critical security issue with GeoNode.  It<br>
> expanded from there.  I worked through multiple security issues and<br>
> developed patches (ansible and manual tasks).  The primary issue is that the<br>
> default GeoServer can be easily rooted with a public master password.  For<br>
> instance, the GeoServer on our demo instance, can be rooted.  This is an<br>
> issue with deployment and doesn't require any changes to the core Django<br>
> codebase.<br>
><br>
> If you have a custom GeoServer WAR or highly-custom downstream project, you<br>
> may not be affected, but very much worth double checking as soon as you can.<br>
><br>
> I've created a GeoNode Security guide for manually fixing the issues, which<br>
> can be completed in less than an hour.  See the <a href="http://goo.gl" rel="noreferrer" target="_blank">goo.gl</a> link below, which<br>
> points to a GitHub gist.<br>
><br>
> <a href="https://goo.gl/rJn1Tq" rel="noreferrer" target="_blank">https://goo.gl/rJn1Tq</a><br>
><br>
> In particular, this guide covers how to secure your (1) Django admin, (2)<br>
> GeoServer admin, and (3) GeoServer root accounts (yes, you need to secure 3<br>
> separate admin-level accounts).<br>
><br>
> I've also updated the public Ansible role on GitHub, so you can immediately<br>
> use that by cloning it.  The ansible and manual tasks are complete patches<br>
> for the security issues specifically referenced, but do not cover all<br>
> GeoNode security best practices.<br>
><br>
> Regards,<br>
> Patrick Dufour<br>
><br>
</div></div>> ______________________________<wbr>_________________<br>
> geonode-devel mailing list<br>
> <a href="mailto:geonode-devel@lists.osgeo.org" target="_blank">geonode-devel@lists.osgeo.org</a><br>
> <a href="https://lists.osgeo.org/mailman/listinfo/geonode-devel" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailma<wbr>n/listinfo/geonode-devel</a><br>
><br>
<span class="m_8485395808065641855HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Jeffrey Johnson<br>
Managing Principal<br>
p: <a href="tel:(760)%20208-9488" value="+17602089488" target="_blank">17602089488</a><br>
e: <a href="mailto:jeff@terranodo.io" target="_blank">jeff@terranodo.io</a><br>
w: <a href="http://terranodo.io" rel="noreferrer" target="_blank">terranodo.io</a><br>
______________________________<wbr>_________________<br>
geonode-devel mailing list<br>
<a href="mailto:geonode-devel@lists.osgeo.org" target="_blank">geonode-devel@lists.osgeo.org</a><br>
<a href="https://lists.osgeo.org/mailman/listinfo/geonode-devel" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailma<wbr>n/listinfo/geonode-devel</a><br>
</font></span></blockquote></div><br></div></div></div>
</blockquote></div><br></div></div>