Europa's questions

Estou passando pelo Security Command Center no Google Cloud e tenho a seguinte descoberta de segurança:

• Nome: ORG_POLICY_LOCATION_RESTRICTION
• Descrição: O recurso está fora dos locais definidos na política de Restrição de Localização de Recursos
• Nome de exibição do recurso: padrão
• Nome completo do recurso: //compute.googleapis.com/projects/MYPROJECT/regions/us-east5/subnetworks/default
• Tipo de recurso: google.compute.Subnetwork

Próximos passos

Visite esta página do Google Cloud Platform que ajudará você a resolver a violação de localização que está afetando o recurso padrão google.compute.Subnetwork.

Exclua este recurso para resolver a violação de recurso associada à política da organização 'gcp.resourceLocations'.

Eliminação

Quando vou lá VPC networksvejo muitas defaultredes, mas elas não podem ser excluídas.

Como posso excluí-los?

Eu tenho um modelo de instância do Google Cloud Compute Engine com um script de inicialização.

No script de inicialização o servidor gera um certificado. Após gerar o certificado ele envia uma mensagem para uma API para informar um sistema central sobre o certificado. A solicitação fica assim:

curl --location 'https://my-side.com/hello?hostname=$hostname' \
    --header 'Authorization: SUPER_SECRET_API_KEY'

A chave de API é armazenada como texto bruto no script de inicialização. Está tudo bem ou deveria ser movido para um armazenamento secreto de exemplo? Em caso afirmativo, como posso ler a chave da API no script de inicialização?

Estou escrevendo um script bash que irá gerar um certificado raiz e um certificado de servidor. A geração do certificado raiz funciona, mas o certificado do servidor solicita uma entrada - no entanto, como este é um script bash, ele deve usar apenas os valores da configuração.

rootCA_openssl.cnf

[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
 
[ req_distinguished_name ]
countryName = NO
countryName_default = NO
stateOrProvinceName = Nordland
stateOrProvinceName_default = Nordland
organizationName = Lumina Ventures
organizationName_default = Lumina Ventures
commonName = Lumina Ventures Root CA 1
commonName_default = Lumina Ventures CA 1
 
[ v3_req ]
basicConstraints = CA:true
keyUsage = critical, keyCertSign

Genrsa

openssl genrsa -aes256 -out rootCA.key --passout pass:password 2048

Crie um arquivo CSR (Solicitação de Assinatura de Certificado) para o certificado CA raiz

openssl req -new -key rootCA.key -out rootCA.csr -config rootCA_openssl.cnf --passin pass:password

Gere o arquivo de certificado CA raiz rootCA.pem

openssl x509 -req -in rootCA.csr -sha512 -signkey rootCA.key -out rootCA.pem -days 1095 -extensions v3_req -extfile rootCA_openssl.cnf --passin pass:password

servidor_openssl.cnf

[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[ req_distinguished_name ]
countryName = NO
countryName_default = NO
stateOrProvinceName = Nordland
stateOrProvinceName_default = Nordland
localityName = Lofoten
localityName_default = Lofoten
organizationName = Lumina Ventures
organizationName_default = Lumina Ventures
commonName = 80.50.50.20
commonName_default = 80.50.50.20
commonName_max = 64
 
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
 
[ alt_names ]
IP.1 = 80.50.50.20

Digite uma senha quando solicitado

openssl genrsa -aes256 -out server.key --passout pass:password 2048

req (para aqui)

openssl req -new -key server.key -out server.csr -config server_openssl.cnf --passin pass:password

Isso me leva a:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
NO [NO]:

Como posso usar os valores padrão na configuração do servidor? Tentei adicionar prompt = noà [ req ]seção, mas ocorreu um novo erro:

Error making certificate request
4057E170FB7C0000:error:04000067:object identifier routines:OBJ_txt2obj:unknown object name:../crypto/objects/obj_dat.c:376:
4057E170FB7C0000:error:05800077:x509 certificate routines:X509_NAME_ENTRY_create_by_txt:invalid field name:../crypto/x509/x509name.c:252:name=countryName_default

A última coisa que farei é gerar o certificado, porém estou preso no req do openssl

openssl x509 -req -in server.csr -sha256 -CA rootCA.pem -CAkey rootCA.key -out server.pem -days 1095 -extensions v3_req -extfile server_openssl.cnf

Estou gerando um certificado raiz com um script bash.

Eu tenho um arquivo rootCA_openssl.cnf com os dados de configuração:

rootCA_openssl.cnf

[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req

[ req_distinguished_name ]
countryName = NO
countryName_default = NO
stateOrProvinceName = Stavanger
stateOrProvinceName_default = Stavanger
organizationName = Stavanger Info
organizationName_default = Stavanger Info
commonName = 88.5.44.3
commonName_default = 88.5.44.3

[ v3_req ]
basicConstraints = CA:true
keyUsage = critical, keyCertSign

Gerar RSA

openssl genrsa -aes256 -out rootCA.key --passout pass:password 2048

Crie um arquivo CSR (Solicitação de Assinatura de Certificado) para o certificado CA raiz

Quando tento gerar um arquivo CSR, o Ubuntu me avisa com a configuração.

openssl req -new -key rootCA.key -out rootCA.csr -config rootCA_openssl.cnf --passin pass:password

Isto é o que o Ubuntu me pede:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
NO [NO]:

Vou executar o comando em um script bash, por isso não consigo pressionar Enter no teclado para fazer as perguntas.

Como posso executar o openssl req sem que isso seja solicitado?

Depois de criar uma máquina virtual que executa o Ubuntu LTS mais recente, desejo me conectar a ela usando SSH.

Quando eu entro nele, recebo esta tela:

Recebo um novo código de g.co/sc

Quando insiro esse código no navegador SSH, a mesma tela aparece novamente.

O que estou fazendo de errado?

1) Configuração da Máquina Virtual

Configuração da Máquina

• Tipo: E2 Standard 4 (4 vCPU, 16 GB de RAM)
• Dispositivo de exibição: Ativar

Disco de inicialização

• SO: Ubuntu LTS x86/64

Identidade e acesso à API

• Firewall: Permitir tráfego HTTPS

Segurança

• VM blindada: ativar inicialização segura

Acesso VM

• Controle o acesso à VM por meio de permissões do IAM
• Exigir verificação em duas etapas

Metadados personalizados

• habilitar-oslogin: verdadeiro
• habilitar-oslogin-2fa: verdadeiro

2) Permissões para vm

Eu me adicionei às seguintes permissões:

• Administrador de computação
• Administrador de Instância de Computação
• Login do Administrador do SO do Compute
• Computar login do sistema operacional
• Visualizador de computação
• Proprietário