如何在复制节点之间建立安全通信?

如何在复制节点之间建立安全通信?

我搜索了使用 CouchDB 在两个服务器之间建立复制的最佳方法,但没有找到任何相关信息。https://docs.couchdb.org/en/stable/setup/cluster.html不谈这个。

目前,我正在使用没有直通的证书在两台服务器之间建立 SSH 永久连接:

ssh -f -L 127.0.0.1:5985:127.0.0.1:5984 [email protected] -N -i id_rsa_sinccouchdb -l sinccouchdb -o ServerAliveInterval=60

但我不确定这是否是最好的方法。有人能告诉我一个更好更安全的解决方案吗?谢谢。

答案1

好吧,经过一些研究和测试,我认为我可以成功。为了供未来的用户参考,我在这里发布了我的解决方案。

1) SSL 隧道有效且运行良好,但我认为它会消耗更多服务器资源。隧道必须始终保持打开状态。HTTPS 解决方案是一种“按需”解决方案。

2)要在 CouchDB 中启用 HTTPS,请按照以下步骤操作指示

2.1. 如果您的服务器已经使用让我们加密Apache HTTPD 的免费 TLS 证书,它需要在 Couchdb 中使用,因为证书和密钥文件必须由 Couchdb 用户拥有!也许有人可以找到解决这个问题的方法。

3)缩小Erlang 随机端口;如果你只有 1 个 couchdb 节点,请在 /opt/couchdb/etc/vm.args 中设置它:

-kernel inet_dist_listen_min 9100
-kernel inet_dist_listen_max 9100

我也建议改变这一点

 -setcookie anything //default is always monster

4) 现在您已打开这些端口:5984、6984、4369 和 9100。因此,全世界都可以看到这些端口,这是一个安全问题。

5) 使用 fail2ban 和其他工具来防止攻击,但就我而言,我会阻止除 2 个服务器(主机和接收复制的从属服务器)的 IP 之外的攻击。记得先停止 fail2ban:

service fail2ban stop

6)在主机服务器上添加以下规则:

iptables -I INPUT 1 -p tcp -s 127.0.0.1 --dport 4369 -j ACCEPT
iptables -I INPUT 2 -p tcp -s 127.0.0.1 --dport 5984 -j ACCEPT
iptables -I INPUT 3 -p tcp -s 127.0.0.1 --dport 6984 -j ACCEPT
iptables -I INPUT 4 -p tcp -s 127.0.0.1 --dport 9100 -j ACCEPT
iptables -I INPUT 5 -p tcp -s slaveserver.eu --dport 4369 -j ACCEPT  
iptables -I INPUT 6 -p tcp -s slaveserver.eu --dport 6984 -j ACCEPT 
iptables -I INPUT 7 -p tcp -s slaveserver.eu --dport 9100 -j ACCEPT 
iptables -I INPUT 8 -p tcp  --dport 4369 -j REJECT
iptables -I INPUT 9 -p tcp  --dport 5984 -j REJECT
iptables -I INPUT 10 -p tcp  --dport 6984 -j REJECT
iptables -I INPUT 11 -p tcp  --dport 9100 -j REJECT
iptables-save > /etc/iptables/rules.v4

7)在从服务器上:

iptables -I INPUT 1 -p tcp -s 127.0.0.1 --dport 4369 -j ACCEPT
iptables -I INPUT 2 -p tcp -s 127.0.0.1 --dport 5984 -j ACCEPT
iptables -I INPUT 3 -p tcp -s 127.0.0.1 --dport 6984 -j ACCEPT
iptables -I INPUT 4 -p tcp -s 127.0.0.1 --dport 9100 -j ACCEPT
iptables -I INPUT 5 -p tcp -s hostserver.eu --dport 4369 -j ACCEPT  
iptables -I INPUT 6 -p tcp -s hostserver.eu --dport 6984 -j ACCEPT 
iptables -I INPUT 7 -p tcp -s hostserver.eu --dport 9100 -j ACCEPT 
iptables -I INPUT 8 -p tcp  --dport 4369 -j REJECT
iptables -I INPUT 9 -p tcp  --dport 6984 -j REJECT
iptables -I INPUT 10 -p tcp  --dport 5984 -j REJECT
iptables -I INPUT 11 -p tcp  --dport 9100 -j REJECT
iptables-save > /etc/iptables/rules.v4

8)在fail2ban的从服务器配置文件中添加主机服务器的ip,反之亦然,并在两台服务器中重新启动fail2ban:

nano /etc/fail2ban/jail.d/custom.local
[DEFAULT]
    ignoreip = 127.0.0.1/8 62.75.143.242 62.75.186.11 62.138.1.143

service fail2ban start

9)使用带密钥的 SSH 可以访问两个服务器。按照以下说明操作以启用它。

10)使用 SSH 隧道访问主机服务器中的 Fauxton:

ssh -p999 -f -L 127.0.0.1:5985:127.0.0.1:5984 [email protected] -i/root/.ssh/id_rsa -N

然后打开:http://127.0.0.1:5985并在_replicator数据库中你可以添加如下内容:

{"_id": "1", "source": 
  {"url": "http://127.0.0.1:5984/mydb"},
   "target":{"url": "https://salveserver.eu:6984/mydb_copy"},
   "create_target": false,"continuous": true,  "owner": "sysdba"}

在这种情况下,mydb_copy 必须已存在于从属服务器中。如果不存在,则必须包含身份验证以允许主机 couchdb 在从属服务器上创建数据库。

答案2

如果 CouchDB 不支持 TLS(虽然我没有深入研究过它的文档,但我觉得不太可能),你可以尝试通过以下方式运行集群流量:隧道

相关内容