Безопасность кластера
Безопасность кластера и демона clcomd
Демон коммуникаций кластера (Cluster Communication Daemon) представляет реализацию надежного, защищенного транспортного уровня для HACMP. Clcomd осуществляет управление почти всеми межкластерными коммуникациями, в частности C-SPOC, верификацией и синхронизацией кластера, наборами файлов. Clcomd также улучшает производительность кластера: он имеет кеш для файлов HACMP ODM, что позволяет ускорить доставку, и может повторно использовать существующие подключения сокетов.
Демон диспетчера кластера и мониторинг пульса основаны на RSCT, тогда как clinfo использует протокол SNMP.
Существует два режима безопасности для аутентификации подключения в HACMP:
- Стандартный (Standard). Выполняется проверка входящего подключения со списком доступа, и разрешается только минимальный требуемый доступ. В этой главе рассматривается только стандартный режим безопасности кластера.
- Kerberos:. Все коммуникации в кластере защищаются с использованием инфраструктуры PSSP Kerberos. Этот режим безопасности работает только на системах SP с установленным программным обеспечением PSSP.
Начиная с HACMP 5.1 файл .rhosts не применяется. Безопасность HACMP основана на аутентификации подключений по принципу минимума привилегий. Демон коммуникаций кластера использует внутренний список доступа для авторизации других узлов для удаленного выполнения команд. При получении узлом запроса на удаленное выполнение Clcomd ищет входящий IP-адрес подключения среди IP-адресов в следующих расположениях:
Демон коммуникаций кластера использует принцип минимума привилегий. При удаленном выполнении команды разрешается только минимальный объем требуемых привилегий. Это обеспечивает удаленное выполнение только для доверенных команд HACMP, причем, если возможно, команды выполняются под учетной записью nobody. Утилиты кластера разделены на две группы:
- доверенные команды, для которых допускается выполнение под учетной записью root ;
- остальные команды, выполняющиеся под учетной записью nobody.
Файл /usr/es/sbin/cluster/etc/rhosts
Файл /usr/es/sbin/cluster/etc/rhosts должен содержать список всех IP-адресов всех узлов кластера для повышенной безопасности. Этот файл автоматически получает информацию о подключении узла (базовые адреса узлов) от HACMP в процессе обнаружения, а также верификации и синхронизации кластера. Кроме того, можно вручную отредактировать файл /usr/es/sbin/cluster/etc/rhosts, включив в него IP-адреса узлов.
- владелец: root;
- группа: system;
- разрешения: 0600.
Изначальная настройка кластера
При начальной настройке кластера файл /usr/es/sbin/cluster/etc/rhosts пуст. Обычно HACMP записывает в него базовые адреса одноранговых узлов при первом запуске процессов обнаружения и синхронизации кластера. При первоначальном конфигурировании безопасности кластера рекомендуем добавить IP-адреса кластера на всех узлах в файл /usr/es/sbin/cluster/etc/rhosts, прежде чем начать конфигурирование HACMP.
Отключение демона коммуникаций кластера
Для повышения безопасности можно отключить clcomd. При этом следует учитывать, что без clcomd не смогут работать следующие функции:
- верификация и синхронизация HACMP;
- C-SPOC, включая LVM, управление пользователями и паролями;
- наборы файлов;
- аутентификация и шифрование сообщений.
- Отключение демона коммуникаций кластера выполняется командой stopsrc . -s clcomdES. Перезапуск clcomd выполняется командой startsrc -s clcomdES.
Дополнительные средства безопасности кластера
Файлы HACMP ODM хранятся в каталоге /etc/es/objrepos. В целях повышения безопасности для них задается владелец root и группа hacmp. Кроме того, для них устанавливается разрешение 0640, кроме файла HACMPdisksubsystem, для которого устанавливается разрешение 0600. Для всех утилит кластера, предназначенных для открытого использования, включен hacmp setgid, что позволяет им читать файлы HACMP ODM. Если группа hacmp не существует, она создается во время установки HACMP.
Использование зашифрованных межузловых коммуникаций
HACMP поддерживает зашифрованный обмен сообщениями (encrypted messaging) между узлами кластера. Шифрование может осуществляться для трафика диспетчера кластера (Cluster Manager), демона коммуникаций кластера (Cluster Communication Daemon) и RSCT.
Шифрование основано на схеме симметричного ключа, обеспечиваемой службами безопасности кластера (Cluster Security Services, CtSec). CtSec является частью RSCT.
Можно использовать следующие дополнительные модули шифрования RSCT:
Шифрование вызывает дополнительную нагрузку на процессоры, однако на продолжительность перемещения при сбое оно не влияет.
Управление ключами шифрования
Модули шифрования RSCT используют симметричные ключи. Это означает, что все узлы кластера используют один ключ для шифрования и дешифрования. На каждом узле ключи безопасности расположены в каталоге /usr/es/sbin/cluster/es. Имя файла соответствует выбранному метод шифрования:
- key_md5_des;
- key_md5_3des;
- key_md5_aes.
Генерировать ключ следует при первой настройке шифрования сообщений, при изменении конфигурации безопасности кластера или в соответствии с правилами безопасности вашей компании. Один ключ можно использовать столько, сколько потребуется.
HACMP содержит механизм распространения ключей по узлам:
- Автоматическое распространение ключей: новый ключ распространяется по узлам кластера автоматически после того, как он был сгенерирован. Этот метод удобен, однако менее безопасен, так как копирование ключей осуществляется через сеть.
- Распространение ключей вручную: необходимо вручную копировать файл ключей на каждый узел. Можно использовать SFTP или SCP, однако безопаснее всего применять дискету для распространения ключей. Мы рекомендуем использовать этот метод.