我在 WAN 上的几个 Web 服务器之间使用 Galera 集群。我使用 ipsec 加密了服务器之间的流量,但我突然意识到任何人都可以连接到我的 Galera 集群并开始下载数据库。
保护自己免受这种攻击的最佳方法是什么?是否可以设置某种身份验证(例如密码)或仅允许某些 IP 加入 Maria DB 中的集群?
(我知道 Galera 支持 SSL,但由于我已经使用 ipsec 进行安全的服务器到服务器通信,所以我不想产生两次加密的额外开销。)
我想到当前选择的方案是使用 iptables 来阻止 Galera 的端口并只允许某些 IP。
答案1
您可以在机器之间建立一个专用网络并绑定Galera到相应的 IP,以确保它无法从公共互联网访问。
编辑:不确定你使用的是哪个版本,但根据这从 5.2.10 开始,MariaDB包括一个PAM Authentication Plugin。