在ColdFusion 9上锁定SOLR

时间:2014-03-20 13:04:54

标签: security solr coldfusion coldfusion-9

这可能属于serverfault,所以如果有,请移动。

我们刚刚发现您可以通过转到:http://example.com:8983/solr/来获取SOLR索引列表,然后允许您访问每个索引的SOLR管理员。这让我们感到......一件坏事。幸运的是,这被锁定为只从某个IP(我们的办公室IP通过防火墙)访问,但仍然意味着看门人可以访问我们的SOLR集合。不理想。

规避它的一种方法是删除管理员文件夹,但这仍然允许人们访问http://example.com:8983/solr/,这不是理想的。

我已阅读SOLR documentation on security,但似乎无法完全锁定对/solr/*的访问权限。查看文档的错误部分可能非常好。

使用文档中的代码:

<security-constraint>
  <web-resource-collection>
    <web-resource-name>Solr authenticated application</web-resource-name>
    <url-pattern>/core1/*</url-pattern>
  </web-resource-collection>
  <auth-constraint>
    <role-name>core1-role</role-name>
  </auth-constraint>
</security-constraint>

<login-config>
  <auth-method>BASIC</auth-method>
  <realm-name>Test Realm</realm-name>
</login-config>

并将<url-pattern>/core1/*</url-pattern>替换为实际的solr集合名称,这意味着在访问http://example.com:8983/solr/collection_name/时,它会询问我输入登录名和密码,但是,只是在尝试锁定/solr/*或偶*我没有运气。

我使用CF9附带的内置solr

1 个答案:

答案 0 :(得分:1)

这是一个远程Solr服务器还是与CF9在同一服务器上,如果在与CF9相同的服务器上,那么你可以告诉Solr监听127.0.0.1。 2010年有一个针对CF 9.0.0的补丁:http://www.adobe.com/support/security/bulletins/apsb10-04.html

如果是远程solr服务器,则可以使用网络防火墙或本地防火墙(Windows防火墙或iptables)将对此端口(可能还有此服务器)的访问限制为仅限CF服务器。