2

私のサーバー (Amazon EC2 内) は次のようになります。

        サーバー 1 サーバー 2 サーバー 3
__________________________ _____________________ _______________
| | クラウド モニター デーモン | | | Memcached デーモン | | | 豆の木 |
| | | | | | Memcached デーモン | ________________
| | 「敵対的」ユーザーのプロセス | / | Memcached デーモン |
| | 「敵対的」ユーザーのプロセス | / | Memcached デーモン |
| | 「敵対的」ユーザーのプロセス | / | Memcached デーモン |
| | 「敵対的」ユーザーのプロセス | / ______________________
| | 「敵対的」ユーザーのプロセス | /
__________________________

1 つのサーバーに複数のユーザー プロセスがあります。その後、各ユーザーは、(別の) サーバーで実行される独自の memcached インスタンスを持ちます (他の多くの memcached インスタンスと共に)。セキュリティがまったくなくても (デフォルトでは)、ユーザー プロセス B はユーザー A の memcached インスタンスのポートを推測してアクセスできます。ユーザー C が memcached インスタンス C のみにアクセスでき、他のインスタンスにはアクセスできないように、このシステムを保護するにはどうすればよいですか (memcached インスタンスはすべて同じサーバー上にあります)。ユーザーはセキュリティを利用するために何もする必要はありません (通常どおり memcached ポートに接続し続けるだけです)。すべてシステムによって自動的に行われます。

また、サーバー上の Cloud Monitor Daemon と「敵対的な」ユーザー プロセスは、リモートの beanstalkd サーバーにアクセスできる必要があります。Beanstalkd にも認証がないため、モニター デーモンが beanstalkd にアクセスできる場合は、「敵対的な」ユーザー プロセスもアクセスできますが、それは望ましくありません。この部分を確保するにはどうすればよいですか?

4

4 に答える 4

2

最近のブログ投稿で、memcached を保護するためのヒントをいくつか紹介しました。あなたの場合、SASLはおそらく大いに役立ちます。

Beanstalk が SASL をサポートしたかどうかはわかりませんが、それは別のアプリです。

もちろん、VPN構築したり、ノード レベルですべてのマシン上のすべてのサービスへのアクセスを制御する IPSEC を有効にしたりできます。

于 2010-10-18T05:06:40.670 に答える
1

私は結局、昔ながらのiptablesを使いました。uidごとのルールを実行でき、プログラムで構成するのは非常に簡単です。最も重要なことは、ユーザーがプロセスに関与する必要がなく、標準プロトコルを引き続き使用でき、認証を処理する必要がないことです。iptablesは、本来あるべきではない場所に送信される「いたずらな」パケットをドロップします。

于 2010-12-24T04:12:36.127 に答える
1

サーバー 3 のローカル IP (127.0.0.1) で beanstalkd を開始し、サーバー 1 からサーバー 3 への SSH トンネルを使用できます。これを inetd および ssh-keys と組み合わせてフェイルセーフにします。

于 2010-12-24T01:58:09.610 に答える
1

数週間前、Amazon は、memcached と beanstalkd を保護するために使用しているAmazon VPC (Virtual Private Cloud) を発表しました。

よく働く!真剣にお勧めします。自分自身に対処しなければならないオーバーヘッドが 1 つ少なくなります。

于 2011-03-30T21:33:47.273 に答える