我有6个节点可以在eth1上访问互联网,在eth0上互相访问。 目前我有eth0的防火墙规则,例如memcached和NFS。 这是必要的吗? 这是一个非常头痛的问题,例如NFS在不同的端口上进行通信,而且我最近还引入了更多的glusterfs。 搞清楚什么后端端口解除阻塞值得安全增强是头痛的事情?
我应该提到,我当然还会在eth0上有一个防火墙规则来阻止同一个数据中心的其他人拥有的服务器。
谢谢
这是一个痛苦,我同意。 你可以没有(只要你仍然阻止eth0上的所有东西,你已经指出)。
唯一的风险是:如果你的6台服务器中有1台服务器被攻破,那么“坏人”更容易进入其他5台服务器。
他们可能运行的是与第一台服务器相同的操作系统,因此攻击者可能首先通过eth1攻击它们。
但是,如果这6台服务器是不同的操作系统,或者在eth1上暴露了不同的服务,则eth0上的附加防火墙可能能够防止攻击者访问其他5台服务器。
不pipe你做出了什么select:我希望你有不同的账户/密码设置这些机器。 无论如何,您可能在eth0上启用了SSH。 如果攻击者在1上获得一个帐号,如果他们相同,他可以跳到下一个框中。 有时,基于密钥的身份validation之上的userid / passwordauthentication是一个好主意。
如果每个服务器都被允许在每个开放端口上与其他服务器联系,那么防火墙实际上并没有做任何事情,你也可以使用全局接受。 如果有一些内部stream量是不允许的,那么这取决于与pipe理努力相比绕过这些限制的后果。
打开NFS和glusterfs的端口不需要头疼。
Glusterfs使用许多端口,但它是一个已知和有限的列表,所以可以编写脚本。 可以将NFSconfiguration为使用特定的端口(在RHEL和类似的NFS服务器上的/etc/sysconfig/nfs ),而不是随机的。