运行Erlang集群时有哪些安全风险?

时间:2012-12-13 20:45:39

标签: security erlang

在运行Erlang系统时,需要注意的是一个更普遍的问题。例如,我知道原子耗尽攻击。什么是其他可能的攻击以及如何使您的系统更安全?

3 个答案:

答案 0 :(得分:5)

运行群集意味着他们正在共享一个cookie,如果一个人知道cookie而不是他们可以附加到你的任何节点(假设它们连接到你的网络)并执行任何任意的Erlang命令或程序。

所以我的想法是,群集意味着至少有两个文件(和一些人)知道cookie是什么(或在哪里找到它)。

答案 1 :(得分:2)

我会害怕系统中部署的应用程序中的错误。来自otp的好例子是SSL应用程序,它在3年前完全重写了。接下来是http客户端 - 内存泄漏。 Xmerl从未成为该系统的重要组成部分。

另外,小心第三方Erlang应用程序:新的Web服务器(可能比inets更好,但如果你不需要所有的性能考虑稳定的Yaws),ejabberd - 直接操作系统,Riak的技术数量 - 与文件系统的交互,ulimit,iostats等。

答案 2 :(得分:2)

首先,您希望将群集置于封闭的VPN中(如果它们相距很远并且通过WAN进行通信)。然后,您希望在强化UNIXLINUX之上运行它们。另一个强有力的想法是关闭所有与群集的epmd连接,即使有人使用net_kernel:allow(Nodes).获得了cookie。
二郎Vms的一个主要弱点(我已经意识到)是记忆消耗。我认为,如果一个Erlang平台为许多用户提供服务而且它不受DOS攻击保护,那么它的左派真的很脆弱。您需要限制Web服务器允许的并发连接数,以便您可以轻松阻止某些 script boys in the neighbourhood 。另一种情况是在群集中分布/复制Mnesia数据库。 Mnesia复制数据,但我不确定该数据是否已加密。最后,确保您是群集中所有计算机的唯一管理员。