当某个服务器被攻击后,群功能无疑可以让其他服务器在被攻击之前阻止访问。
不过,这种交流方式也有安全隐患。由于是通过网络交流,因此有可能被拦截。而且,尽管如果该信息没有加密[*]会被丢弃,这并不能阻止任何本地用户访问网络端口和发送数据。
实施以下安全措施可以帮助减少攻击:
1.csf创建iptables规则,只有群用户才能通过群端口相互交流
2.群服务器只接收来自CLUSTER_RECVFROM或CLUSTER_MASTER列出的IPs连接的数据
3.[*]所有信息都通过Pure Perl cpan模块,Cipher Block Chaining模块和已配置的CLUSTER_KEY,使用Blowfish对称分组密码加密。
4.将CLUSTER_CONFIG设置为0可阻止配置选项请求的处理
5.只有CLUSTER_MASTER才能作为CLUSTER_CONFIG配置选项请求源被接收。
配置的密钥(口令)可能会受到损害、猜测或加密模块存在缺陷,又或是在csf执行时恶意连接重新配置csf防火墙,并发动本地或远程root升级。您在使用该选项前需要考虑到这些风险。
我们不能保证此功能是绝对安全的,任何由此功能受到损害所带来的风险全部由您个人承担。
A Note on lfd Cluster Security lfd集群安全须知
THE END
