主页 / server / 问题 / 1003301
Accepted
Kaspacainoombro
Asked: 2020-02-17 11:27:05 +0800 CST

如何在节点之间进行安全通信以进行复制?

  • 772

我搜索了使用 CouchDB 在两台服务器之间建立复制的最佳方法,但我没有找到任何信息。https://docs.couchdb.org/en/stable/setup/cluster.html中的手册没有谈到这一点。

目前,我正在使用证书在两台服务器之间使用 SSH 永久连接,而无需通过直通:

ssh -f -L 127.0.0.1:5985:127.0.0.1:5984 [email protected] -N -i id_rsa_sinccouchdb -l sinccouchdb -o ServerAliveInterval=60

但我不确定这是否是最好的方法。任何人都可以为我指出一个更好、更安全的解决方案吗?谢谢你。

ssl couchdb

2 个回答

  1. Best Answer

    好吧,经过一些学习和测试,我觉得我可以工作了。供未来用户参考,我在这里发布我的解决方案。

    1) SSL 隧道是有效的并且运行良好,但我相信它会消耗更多来自服务器的资源。隧道必须始终保持畅通。HTTPS 解决方案是一种“按需”解决方案。

    2) 要在 couchdb 中启用 HTTPS,请按照这些说明进行操作。

    2.1。如果您的服务器已经在为 Apache HTTPD 使用Let's Encrypt免费的 TLS 证书,它需要在 couchdb 中使用,因为证书和密钥文件必须是 couchdb 用户的所有者!也许有人可以找到解决此问题的方法。

    3) 缩小Erlang 随机端口;如果您只有 1 个 couchdb 节点,请将其设置在 /opt/couchdb/etc/vm.args 中:

    -kernel inet_dist_listen_min 9100
-kernel inet_dist_listen_max 9100

    我也建议改变这个

     -setcookie anything //default is always monster

    4) 现在您打开了这些端口:5984、6984、4369 和 9100。所以,世界看到这些端口,这是一个安全问题。

    5)使用fail2ban和其他来防止攻击,但在我的情况下,我阻止了2台服务器(接收复制的主机和从机)的IP。请记住首先停止fail2ban:

    service fail2ban stop

    6)在主机服务器上添加此规则:

    iptables -I INPUT 1 -p tcp -s 127.0.0.1 --dport 4369 -j ACCEPT
iptables -I INPUT 2 -p tcp -s 127.0.0.1 --dport 5984 -j ACCEPT
iptables -I INPUT 3 -p tcp -s 127.0.0.1 --dport 6984 -j ACCEPT
iptables -I INPUT 4 -p tcp -s 127.0.0.1 --dport 9100 -j ACCEPT
iptables -I INPUT 5 -p tcp -s slaveserver.eu --dport 4369 -j ACCEPT  
iptables -I INPUT 6 -p tcp -s slaveserver.eu --dport 6984 -j ACCEPT 
iptables -I INPUT 7 -p tcp -s slaveserver.eu --dport 9100 -j ACCEPT 
iptables -I INPUT 8 -p tcp  --dport 4369 -j REJECT
iptables -I INPUT 9 -p tcp  --dport 5984 -j REJECT
iptables -I INPUT 10 -p tcp  --dport 6984 -j REJECT
iptables -I INPUT 11 -p tcp  --dport 9100 -j REJECT
iptables-save > /etc/iptables/rules.v4

    7) 在从服务器上:

    iptables -I INPUT 1 -p tcp -s 127.0.0.1 --dport 4369 -j ACCEPT
iptables -I INPUT 2 -p tcp -s 127.0.0.1 --dport 5984 -j ACCEPT
iptables -I INPUT 3 -p tcp -s 127.0.0.1 --dport 6984 -j ACCEPT
iptables -I INPUT 4 -p tcp -s 127.0.0.1 --dport 9100 -j ACCEPT
iptables -I INPUT 5 -p tcp -s hostserver.eu --dport 4369 -j ACCEPT  
iptables -I INPUT 6 -p tcp -s hostserver.eu --dport 6984 -j ACCEPT 
iptables -I INPUT 7 -p tcp -s hostserver.eu --dport 9100 -j ACCEPT 
iptables -I INPUT 8 -p tcp  --dport 4369 -j REJECT
iptables -I INPUT 9 -p tcp  --dport 6984 -j REJECT
iptables -I INPUT 10 -p tcp  --dport 5984 -j REJECT
iptables -I INPUT 11 -p tcp  --dport 9100 -j REJECT
iptables-save > /etc/iptables/rules.v4

    8)在fail2ban的slave服务器配置文件中添加主机服务器的ip,反之亦然,并在两个服务器中重新启动fail2ban:

    nano /etc/fail2ban/jail.d/custom.local
[DEFAULT]
    ignoreip = 127.0.0.1/8 62.75.143.242 62.75.186.11 62.138.1.143

service fail2ban start

    9) 对两台服务器的访问是使用带有密钥的 SSH 完成的。按照这些说明启用它。

    10) 使用 SSH 隧道访问主机服务器中的 Fauxton:

    ssh -p999 -f -L 127.0.0.1:5985:127.0.0.1:5984 [email protected] -i/root/.ssh/id_rsa -N

    然后打开: http: //127.0.0.1 :5985并在_replicator数据库中添加如下内容:

    {"_id": "1", "source": 
  {"url": "http://127.0.0.1:5984/mydb"},
   "target":{"url": "https://salveserver.eu:6984/mydb_copy"},
   "create_target": false,"continuous": true,  "owner": "sysdba"}

    在这种情况下,mydb_copy 必须已经存在于从服务器中。如果没有,您必须包含身份验证以允许主机 couchdb 在从属服务器中创建数据库。

    • 0

  2. 如果 couchdb 不支持 TLS(我觉得不太可能,虽然我没有深入研究它的文档),你可以尝试通过stunnel运行集群流量。

    • -1

相关问题