安全加固说明
- 实现双机HA,需要2台设备部署在同一网关下,并且需要保证2台设备配置的网络能够互通,请合理规划网络,对网关进行安全防护和安全加固。
- HA软件需要访问和配置系统网络才能实现HA功能,因此需要为keepalived二进制添加cap_net_admin和cap_net_raw能力项。在运行HA时请使用低权限的的MindXEdge用户(用户ID:1024),避免使用root用户和其他不安全的能力集。
- 由于HA服务需要修改VIP,脑裂检查需要普通用户执行ping和arping命令,因此以上命令都需要特权能力,但是命令本身存在较小的安全风险。当边缘设备不需要执行HA服务时,需要去除对相关文件(如keepalived、ping和arping)设置过的特权能力,以降低安全风险。
- HA已限制使用单播形式发送VRRP协议报文,配置双机时需要配置对端设备心跳IP,建议配置好后通过iptables机制设置IP白名单,进一步降低安全风险。可参考如下操作进行iptables的IP白名单配置。
- 以root用户登录边缘设备,执行如下命令进行设置。其中{src_ip}为本端心跳网卡名称,{peer_ip}为对端心跳网卡的IP。
iptables -A INPUT -p vrrp ! -s {peer_ip} -j DROP iptables -A INPUT ! -d {src_ip} -p vrrp -j DROP iptables -A OUTPUT ! -s {src_ip} -p vrrp -j DROP iptables -A OUTPUT -p vrrp ! -d {peer_ip} -j DROP - (可选)若用户不再使用HA功能,可以参考如下操作移除已设置的iptables规则。
- 执行如下命令查询设置的规则。
iptables -L --line-number | grep vrrp
查询结果示例如下:{input_num} DROP vrrp -- !192.168.XX.XX anywhere {output_num} DROP vrrp -- anywhere !192.168.XX.XX - 依次执行如下两条命令,删除规则。
iptables -D INPUT {input_num} iptables -D OUTPUT {output_num}
{input_num}、{output_num}为上述查询命令所获得规则的序列号,每删除iptables表中一个规则,同表中其余规则的序列号会发生改变,因此需重新执行查询命令获取对应的序列号。
- 执行如下命令查询设置的规则。
- 以root用户登录边缘设备,执行如下命令进行设置。其中{src_ip}为本端心跳网卡名称,{peer_ip}为对端心跳网卡的IP。