如果你的 ElasticSearch服务器,也没有设置密码,也没有备份。那么请交出你的 BTC 吧~~
Posted phodal
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如果你的 ElasticSearch服务器,也没有设置密码,也没有备份。那么请交出你的 BTC 吧~~相关的知识,希望对你有一定的参考价值。
上周发起了多起针对 MongoDB 的攻击事件,详情可以见我的另外一篇文章。由于使用 MongoDB 的人数量众多,一下子就引起敢关注,因此黑客们将目标转移向了 ElasticSearch 搜索引擎。
于是昨天官方发布了一篇文章《》,教你如何手把手地保护你的数据。
数据案例
对于此,ElasticSearch 提出了关于数据的安全建议:
立马备份你的所有数据到一个安全的位置,并且考虑使用 Curator 快照
重新配置你的 Elasticsearch 到一个隔离的网络环境
如果必须通过 Internet 访问集群,请通过防火墙,VPN,反向代理或其他技术限制从 Internet 访问集群
还建议你:
升级到最新版本的 ElasticSearch
添加TLS加密,身份验证,授权和IP过滤
那么问题来了:在我们设计架构的时候,是不是需要进行一些额外的考虑?
隔离的 ORM API
在 Java 应用里,开发人员都会采用 ORM 来隔离数据与编程语言,并抽象出一些虚拟的对象。然而,我们很遗憾的看到,一些好的实践并没有因为新的技术的发展而被采纳。
如果我们即想暴露出我们的接口,又为了系统的安全考虑,那么我们应该做一层代理。
这种用法实际上有点类似于 GraphQL 的作法:
好的 API 不应该让你直接操作数据库,你只需要关注于你需要的东西~~。
让你用 ElasticSearch,让你不设密码,让你不备份,让你公网访问!
让你用 ElasticSearch,让你不设密码,让你不备份,让你公网访问!
让你用 ElasticSearch,让你不设密码,让你不备份,让你公网访问!
点击阅读原文,访问官方文章。
以上是关于如果你的 ElasticSearch服务器,也没有设置密码,也没有备份。那么请交出你的 BTC 吧~~的主要内容,如果未能解决你的问题,请参考以下文章