本文深入解析Elasticsearch的安全配置选项,包括bootstrap.memory_lock参数的作用,即锁定物理内存防止内存交换,以及bootstrap.system_call_filter参数如何通过系统调用过滤增强安全性,减少潜在攻击风险。
bootstrap.memory_lock
bootstrap.memory_lock: true锁定物理内存地址,防止es内存被交换出去,也就是避免es使用swap交换分区。频繁的交换,会导致IOPS变高。(需要将swap交换分区关闭)
bootstrap.system_call_filter
系统调用过滤检查。根据不同的操作系统,ES安装各种不同的系统调用过滤器(在Linux下使用seccomp)。这些过滤器可以阻止一些攻击行为。
作为一个服务端进程,当由于某些系统漏洞被攻击者取得进程的权限时,攻击者可以使用启动当前进程的用户权限执行一些操作。首先,以普通用户权限启动进程可以降低安全风险。其次,把服务本身不需要的系统调用通过过滤器关闭,当进程被攻击者取得权限时,进一步的权限提升等行为会增加攻击难度(例如,创建子进程执行其他程序,获得一个shell等)。这样被攻击的损失仅限于当前进程,而不是整个操作系统及其他数据。
要通过此项检查,可能需要解决过滤器安装期间遇到的错误,或者通过下面的设置来关闭系统调用过滤器:bootstrap.system_call_filter: false
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
