Tin tức
OneFS và Bảo mật HTTP
Để bật cấu hình bảo mật HTTP chi tiết, OneFS cung cấp tùy chọn vô hiệu hóa các thành phần HTTP không cần thiết một cách có chọn lọc. Điều này có thể giúp giảm bề mặt tấn công tổng thể của cơ sở hạ tầng của bạn. Vô hiệu hóa dịch vụ của một thành phần cụ thể vẫn cho phép các dịch vụ thiết yếu khác trên cụm tiếp tục chạy mà không bị cản trở. Trong OneFS 9.4 trở lên, bạn có thể vô hiệu hóa các dịch vụ HTTP không cần thiết sau:
| Dịch vụ | Sự miêu tả |
| Giao diện PowerScale | Giao diện cấu hình OneFS WebUI. |
| Nền tảng-API-Bên ngoài | Truy cập bên ngoài vào các điểm cuối API của nền tảng OneFS. |
| Quyền truy cập còn lại vào không gian tên (RAN) | Truy cập REST-ful bằng HTTP vào không gian tên /ifs của cụm. |
| Dịch vụ từ xa | Hỗ trợ từ xa và kích hoạt trong sản phẩm. |
| SWIFT (đã lỗi thời) | Truy cập đối tượng vào cụm bằng giao thức SWIFT đã lỗi thời. Giao thức này đã được thay thế bằng giao thức S3 trong OneFS. |
Bạn có thể bật hoặc tắt từng dịch vụ này một cách độc lập, bằng cách sử dụng CLI hoặc API nền tảng, nếu bạn có tài khoản người dùng có đặc quyền ISI_PRIV_HTTP RBAC.
Bạn có thể sử dụng lệnh CLI dịch vụ isi http để xem và sửa đổi các dịch vụ HTTP không cần thiết:
# isi http danh sách dịch vụ Đã bật ID ------------------------------ Nền tảng-API-Ngoài Có PowerScaleUI Có RAN Có Dịch vụ từ xa Có SWIFT Không ------------------------------ Tổng cộng: 5
Ví dụ, bạn có thể dễ dàng vô hiệu hóa quyền truy cập HTTP từ xa vào không gian tên OneFS /ifs như sau:
# isi http dịch vụ sửa đổi RAN --enabled=0
Bạn sắp sửa đổi dịch vụ RAN. Bạn có chắc chắn không? (có/[không]): có
Tương tự như vậy, bạn cũng có thể sử dụng WebUI để xem và chỉnh sửa một tập hợp con các thiết lập cấu hình HTTP bằng cách điều hướng đến Giao thức > Thiết lập HTTP :
Nói như vậy, ý nghĩa và tác động của việc vô hiệu hóa từng dịch vụ như sau:
| Dịch vụ | Vô hiệu hóa tác động |
| Giao diện WebUI | WebUI bị vô hiệu hóa hoàn toàn và các nỗ lực truy cập (cổng TCP mặc định 8080) bị từ chối với cảnh báo Dịch vụ không khả dụng. Vui lòng liên hệ với Quản trị viên.
Nếu WebUI được bật lại, dịch vụ API nền tảng bên ngoài (Platform-API-External) cũng được khởi động nếu nó không chạy. Lưu ý rằng việc tắt WebUI không ảnh hưởng đến dịch vụ PlatformAPI. |
| API nền tảng | Các yêu cầu API bên ngoài tới cụm bị từ chối và WebUI bị vô hiệu hóa vì nó sử dụng dịch vụ Platform-API-External.
Lưu ý rằng dịch vụ Platform-API-Internal sẽ không bị ảnh hưởng nếu/khi Platform-API-External bị vô hiệu hóa và các dịch vụ pAPI nội bộ vẫn tiếp tục hoạt động như mong đợi. Nếu dịch vụ Platform-API-External được bật lại, WebUI sẽ không hoạt động cho đến khi dịch vụ PowerScaleUI cũng được bật. |
| CHẠY | Nếu RAN bị vô hiệu hóa, các thành phần WebUI cho File System Explorer và File Browser cũng tự động bị vô hiệu hóa.
Từ WebUI, các nỗ lực truy cập trình khám phá hệ thống tệp OneFS ( File System > File System Explorer ) không thành công với thông báo cảnh báo Browse is disabled as RAN service is not running. Liên hệ với quản trị viên của bạn để bật dịch vụ. Cảnh báo này cũng xuất hiện khi cố gắng truy cập bất kỳ thành phần WebUI nào khác yêu cầu chọn thư mục. |
| Dịch vụ từ xa | Nếu RemoteService bị tắt, các thành phần WebUI dành cho Hỗ trợ từ xa và Kích hoạt trong sản phẩm cũng sẽ bị tắt.
Trong WebUI, hãy vào Cluster Management > General Settings và chọn tab Remote Support sẽ hiển thị thông báo The service required for the feature is disabled. Hãy liên hệ với quản trị viên của bạn để bật dịch vụ. Trong WebUI, hãy vào Cluster Management > Licensing và cuộn đến phần License Activation sẽ hiển thị thông báo The service required for the feature is disabled. Hãy liên hệ với quản trị viên của bạn để bật dịch vụ. |
| NHANH | Giao thức đối tượng đã lỗi thời và bị vô hiệu hóa theo mặc định. |
Bạn có thể sử dụng lệnh CLI isi http settings view để hiển thị cấu hình OneFS HTTP:
# isi http cài đặt xem Kiểm soát truy cập: Không Xác thực cơ bản: Không WebHDFS Ran HTTPS Cổng: 8443 Dav: Không Bật Nhật ký truy cập: Có HTTPS: Không Xác thực tích hợp: Không Gốc máy chủ: /ifs Dịch vụ: vô hiệu hóa Thời gian chờ dịch vụ: 8 phút 20 giây Thời gian chờ không hoạt động: 15 phút Phiên Độ tuổi tối đa: 4H Chuyển hướng Httpd Controlpath: Không
Tương tự như vậy, bạn có thể quản lý và thay đổi cấu hình HTTP bằng lệnh CLI sửa đổi cài đặt isi http .
Ví dụ, để giảm độ tuổi tối đa của phiên từ bốn giờ xuống còn hai giờ:
# isi http cài đặt xem | grep -i tuổi Phiên Độ tuổi tối đa: 4H # isi http cài đặt sửa đổi --session-max-age=2H # isi http cài đặt xem | grep -i tuổi Phiên Độ tuổi tối đa: 2H
Bộ tùy chọn cấu hình đầy đủ cho cài đặt isi http bao gồm:
| Lựa chọn | Sự miêu tả |
| –kiểm soát truy cập <boolean> | Bật Xác thực Kiểm soát Truy cập cho dịch vụ HTTP. Xác thực Kiểm soát Truy cập yêu cầu phải bật ít nhất một loại xác thực. |
| –xác thực cơ bản <boolean> | Bật Xác thực cơ bản cho dịch vụ HTTP. |
| –webhdfs-ran-https-port <số nguyên> | Cấu hình Cổng dịch vụ dữ liệu cho dịch vụ HTTP. |
| –revert-webhdfs-ran-https-port | Đặt giá trị mặc định của hệ thống cho –webhdfs-ran-https-port. |
| –dav <boolean> | Tuân thủ Lớp 1 và 2 của thông số kỹ thuật DAV (RFC 2518) cho dịch vụ HTTP. Tất cả các máy khách DAV phải đi qua một nút duy nhất. Việc tuân thủ DAV KHÔNG được đáp ứng nếu bạn đi qua SmartConnect hoặc sử dụng 2 hoặc nhiều IP nút. |
| –enable-access-log <boolean> | Cho phép ghi vào nhật ký khi máy chủ HTTP được truy cập để sử dụng dịch vụ HTTP. |
| –https <boolean> | Bật giao thức truyền tải HTTPS cho dịch vụ HTTP. |
| –https <boolean> | Bật giao thức truyền tải HTTPS cho dịch vụ HTTP. |
| –xác thực tích hợp <boolean> | Bật Xác thực tích hợp cho dịch vụ HTTP. |
| –server-root <đường dẫn> | Thư mục gốc tài liệu cho dịch vụ HTTP. Phải nằm trong /ifs. |
| –service (đã bật | đã tắt | đã chuyển hướng | đã tắt_tệp_cơ_bản) | Bật/tắt Dịch vụ HTTP hoặc chuyển hướng đến WebUI hoặc tắt BasicFileAccess. |
| –service-timeout <thời gian> | Khoảng thời gian (tính bằng giây) mà máy chủ sẽ chờ một số sự kiện nhất định trước khi không xử lý được yêu cầu. Giá trị 0 cho biết giá trị thời gian chờ dịch vụ là giá trị mặc định của Apache. |
| –revert-thời gian chờ dịch vụ | Đặt giá trị mặc định của hệ thống cho –service-timeout. |
| –inactive-timeout <thời gian> | Nhận chỉ thị HTTP RequestReadTimeout từ cả WebUI và dịch vụ HTTP. |
| –revert-thời gian chờ không hoạt động | Đặt giá trị mặc định của hệ thống cho –inactive-timeout. |
| –session-max-age <thời lượng> | Nhận chỉ thị HTTP SessionMaxAge từ cả dịch vụ WebUI và HTTP. |
| –revert-phiên-tuổi-tối-đa | Đặt giá trị mặc định của hệ thống cho –session-max-age. |
| –httpd-controlpath-redirect <boolean> | Bật hoặc tắt chuyển hướng WebUI sang dịch vụ HTTP. |
Lưu ý rằng trong khi dịch vụ OneFS S3 sử dụng HTTP, nó được coi là giao thức cấp 1 và do đó được quản lý bằng bộ lệnh CLI isi s3 riêng và vùng WebUI tương ứng. Ví dụ, lệnh CLI sau đây buộc cụm chỉ chấp nhận lưu lượng HTTPS/SSL được mã hóa trên cổng TCP 9999 (thay vì cổng TCP mặc định 9021):
# isi s3 cài đặt toàn cục sửa đổi --https-only 1 –https-port 9921 # isi s3 cài đặt chế độ xem toàn cầu Cổng HTTP: 9020 Cổng HTTPS: 9999 Chỉ HTTPS: Có Dịch vụ S3 được bật: Có
Ngoài ra, bạn có thể tắt hoàn toàn dịch vụ S3 bằng lệnh CLI sau:
# dịch vụ isi s3 vô hiệu hóa Dịch vụ 's3' đã bị vô hiệu hóa.
Hoặc từ WebUI, trong Giao thức > S3 > Cài đặt chung :
Tác giả : Nick Trimbee
Bài viết mới cập nhật
Nhà cung cấp đám mây được CloudPools hỗ trợ
Tính năng Dell PowerScale CloudPools của OneFS cho phép phân tầng, ...
Hiểu về các tùy chọn triển khai InsightIQ 5.0.0: Đơn giản so với mở rộng quy mô
Tổng quan InsightIQ 5.0.0 giới thiệu hai tùy chọn triển khai ...
Làm chủ việc giám sát và báo cáo với InsightIQ 5.0.0
Tổng quan Trong bối cảnh phức tạp của quản lý dữ ...
Cảnh báo trong IIQ 5.0.0 – Phần II
Bài đăng trước của tôi đã giới thiệu một trong những ...