Назад | Перейти на главную страницу

Безопасный кластер galera MariaDB

Я использую кластер Galera между несколькими веб-серверами через глобальную сеть. У меня зашифрован трафик между серверами с помощью ipsec, но меня просто поразило, что любой может подключиться к моему кластеру Galera и начать загрузку базы данных.

Как лучше всего защитить себя от этого? Можно ли установить какую-либо аутентификацию (например, пароль) или разрешить только определенным IP-адресам присоединяться к кластеру в Maria DB?

(Я знаю, что Galera поддерживает SSL, но поскольку я уже использую ipsec для безопасного обмена данными между серверами, я не хочу лишних накладных расходов, связанных с двойным шифрованием.)

Текущий вариант, который я придумал, - это использование iptables для блокировки порта для Galera и разрешения только определенных IP-адресов.

Вы можете настроить частную сеть между вашими машинами и привязать Galera к соответствующим IP-адресам, чтобы убедиться, что он недоступен из общедоступного Интернета.

редактировать: Не уверен, какую версию вы используете, но согласно этот, начиная с 5.2.10, MariaDB включает PAM Authentication Plugin.