Preocupações de segurança com glusterfs?

Navegue suas respostas
6

Eu não sou muito bom em brilhar como eu comecei a usar isso ontem.

Eu tenho 2 servidores. Ambos estão executando o glusterfs-servers.

Do servidor 1: executo sudo glusterfs peer probe server2 e ele é adicionado ao cluster. Não houve perguntas. Eu não fiz nada para dizer server2 para permitir server1 para adicioná-lo ao cluster. Não faz sentido para mim.

Isso me confunde. Quero dizer, e se alguém adicionar meus servidores glusterfs ao cluster deles? Parecia que não havia absolutamente nenhuma segurança. É insano e eu não entendo.

    
por Ranjith Ramachandra 15.01.2015 / 07:59

4 respostas

4

TL, DR: É seguro, terceiros não podem participar de um cluster existente por si próprio, ele precisa ser convidado de dentro.

There was no questions asked. I did nothing to tell server2 to allow server1 to add it to the cluster.

Eu mesmo fiz essa pergunta, então fui dar uma olhada na documentação.

Quando você está criando um novo cluster, você inicia em um servidor e adiciona outros usando gluster peer probe OTHER_SERVER . Segurança adicional não é estritamente necessária, porque você está adicionando novos servidores glusterfs não inicializados. ( A menos que você deixe um gluster recém-instalado e não inicializado rodando com acesso público - então você está com problemas).

Então, o que impede que um invasor se junte ao seu cluster existente? A chave é o seguinte parágrafo:

Once this pool has been established, only trusted members may probe new servers into the pool. A new server cannot probe the pool, it must be probed from the pool. (source)

Como a documentação diz, um terceiro / adversário não pode participar do seu cluster, ele precisa ser convidado de dentro.

O Gluster também fornece outros mecanismos de segurança para mitigar ataques relacionados:

  • Permitir / negar IP no nível do volume, gluster volume set VOL_NAME auth.allow IP1,IP2
  • TLS - criptografia de transporte, bem como o uso de identidades de certificados em vez de endereços IP para autorização (não ativado por padrão, consulte )

Para algo importante, você também pode considerar links privados entre servidores (IPSec / VPN) com uma configuração de firewall que não permite conexões externas.

    
por 26.06.2016 / 23:40
1

Seus servidores do Gluster devem estar em sua própria seção firewall da seção de infra-estrutura. Eles não devem ser expostos à internet pública.

    
por 15.01.2015 / 19:13
1

Concordo que isso é insano: a segurança é um complemento do glusterfs. Como apontado por @ceejayoz, o glusterfs é projetado para ser executado somente em uma rede fisicamente segura e isolada.

Felizmente, o glusterfs foi adicionado ao suporte ssl, que infelizmente está quase completamente não documentado. Presumivelmente, usar o ssl tornará as coisas melhores, embora, como não é documentado, é difícil dizer com certeza. A documentação existe em este blog . Infelizmente, só dá uma sequência de passos.

    
por 13.05.2015 / 02:45
0

Na minha opinião, existem algumas maneiras de resolver o problema:

  1. firewalld ou iptables
  2. SELinux
  3. SSL / TLS
por 05.06.2018 / 09:02

Tags

VM do Windows Azure do Hibernate (IAAS) Suporte para aparar em Hardware RAID (Perc H700)