<div dir="ltr">This is a reminder of the OpenBMC Security Working Group meeting scheduled for this Wednesday September 16 at 10:00am PDT.<br><div><div dir="ltr"><div dir="ltr"><br></div><div dir="ltr">We'll discuss the following items on the agenda, and anything else that comes up:<br></div><div><ol><li>(Parth) Common Remote API for TLS certificate management?</li><ol><li>Certificate management = installation, rotation, revocation</li></ol><li>FYI: BMCWeb Code review: Admin-configurable session timeouts <a href="https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/36016">https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/36016</a> </li><li>FYI: BMCWeb core review: moving to Meson build system (from cmake): A security concern is ensuring project defaults are preserved so that builders get the same options when they use the new build system.  <a href="https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/32816">https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/32816</a> </li><li>BMCWeb code review: WIP toward HTTP-HTTPS redirect: <a href="https://gerrit.openbmc-project.xyz/c/openbmc/meta-phosphor/+/36245">https://gerrit.openbmc-project.xyz/c/openbmc/meta-phosphor/+/36245</a> </li><li>(Joseph): Interest in implementing Redfish ManagerNetworkProtocol properties: HTTPS, IPMI, SSH, VirtualMedia, KVMIP, HTTP (redirect), Oem.OpenBMC.TFTP, and Oem.OpenBMC.mDNS?  This allows the BMC admin to enable and disable these services.  Previous discussion on 2019-11-13.</li><li>(Joseph): Interest in implementing Redfish ManagerAccount.AccountTypes.  This allows the BMC admin to control which users are allowed to access specific BMC interfaces (like SSH or IPMI).  See <a href="https://redfishforum.com/thread/219/account-groups-property">https://redfishforum.com/thread/219/account-groups-property</a></li><li>(email): Protect BMCWeb against password guessing attacks.  See <a href="https://lists.ozlabs.org/pipermail/openbmc/2020-September/023054.html">https://lists.ozlabs.org/pipermail/openbmc/2020-September/023054.html</a> </li><li>Gerrit code review for “EventService: https client support” <a href="https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/31735/">https://gerrit.openbmc-project.xyz/c/openbmc/bmcweb/+/31735/</a></li><li> (Anton) PoC work for daemons’ <a href="https://github.com/openbmc/openbmc/issues/3383">privilege separation</a><br>Use systemd features for privilege drop & sandboxing.</li></ol></div><div><br></div><div dir="ltr"><div>Access, agenda, and notes are in the wiki:<br><a href="https://github.com/openbmc/openbmc/wiki/Security-working-group" rel="noreferrer" target="_blank">https://github.com/openbmc/openbmc/wiki/Security-working-group</a><br></div><br clear="all"><div><div dir="ltr"><div dir="ltr">Regards,<div>Parth</div></div></div></div></div></div></div></div>