Я использую кластер Galera между несколькими веб-серверами через глобальную сеть. У меня зашифрован трафик между серверами с помощью ipsec, но меня просто поразило, что любой может подключиться к моему кластеру Galera и начать загрузку базы данных.
Как лучше всего защитить себя от этого? Можно ли установить какую-либо аутентификацию (например, пароль) или разрешить только определенным IP-адресам присоединяться к кластеру в Maria DB?
(Я знаю, что Galera поддерживает SSL, но поскольку я уже использую ipsec для безопасного обмена данными между серверами, я не хочу лишних накладных расходов, связанных с двойным шифрованием.)
Текущий вариант, который я придумал, - это использование iptables для блокировки порта для Galera и разрешения только определенных IP-адресов.
Вы можете настроить частную сеть между вашими машинами и привязать Galera
к соответствующим IP-адресам, чтобы убедиться, что он недоступен из общедоступного Интернета.
редактировать: Не уверен, какую версию вы используете, но согласно этот, начиная с 5.2.10, MariaDB
включает PAM Authentication Plugin
.