5.3. 네트워크 서비스 강화
시스템 관리자는 Red Hat Enterprise Linux 8 Server에 Red Hat Ceph Storage 클러스터를 배포합니다. SELinux는 기본적으로 활성화되어 있으며 방화벽은 SSH 서비스 포트 22 를 제외한 모든 인바운드 트래픽을 차단하지만, 다른 인증되지 않은 포트가 열려 있거나 불필요한 서비스가 활성화되지 않도록 해야 합니다.
각 서버 노드에서 다음을 실행합니다.
firewalld서비스를 시작하고 부팅 시 실행되도록 활성화한 후 실행 중인지 확인합니다.# systemctl enable firewalld # systemctl start firewalld # systemctl status firewalld
열려 있는 모든 포트의 인벤토리를 가져옵니다.
# firewall-cmd --list-all
새 설치에서
sources:섹션은 특히 포트가 열려 있지 않았음을 나타내는 비워야 합니다.services섹션에는 SSH 서비스(및 포트22) 및dhcpv6-client가 활성화되었음을 나타내는ssh가 표시되어야 합니다.sources: services: ssh dhcpv6-client
SELinux가 실행되고
있는지확인합니다.# getenforce Enforcing
SELinux가
허용되는 경우강제 적용으로 설정합니다.# setenforce 1
SELinux가 실행되고 있지 않으면 활성화합니다. Red Hat Customer Portal에서 Red Hat Enterprise Linux for your OS 버전에 대한 제품 설명서에서 기본 시스템 설정 구성 가이드에서 보안 강화 가이드 내에서 SELinux 가이드 사용을 참조하십시오.
각 Ceph 데몬은 하나 이상의 포트를 사용하여 Red Hat Ceph Storage 클러스터의 다른 데몬과 통신합니다. 경우에 따라 기본 포트 설정을 변경할 수 있습니다. 일반적으로 관리자는 Ceph Object Gateway 또는 ceph-radosgw 데몬을 사용하여 기본 포트만 변경합니다.
표 5.1. Ceph 포트
| TCP/UDP 포트 | 데몬 | 구성 옵션 |
|---|---|---|
|
|
|
|
|
|
| 해당 없음 |
|
|
|
|
|
|
|
|
|
|
| 해당 없음 |
Ceph Storage 클러스터 데몬에는 ceph-mon,ceph-mgr, ceph-osd 가 포함됩니다. 이러한 데몬과 해당 호스트는 강화 목적으로 자체 서브넷을 사용해야 하는 Ceph 클러스터 보안 영역을 구성합니다.
Ceph 클라이언트에는 ceph-radosgw,ceph-mds,ceph-fuse,libcephfs,rbd,librbd, librados 가 있습니다. 이러한 데몬과 해당 호스트는 강화 목적으로 자체 서브넷을 사용해야 하는 스토리지 액세스 보안 영역을 구성합니다.
Ceph Storage Cluster 영역 호스트에서 Ceph 클라이언트를 실행하는 호스트만 Ceph Storage 클러스터 데몬에 연결할 수 있도록 활성화하는 것이 좋습니다. 예를 들면 다음과 같습니다.
# firewall-cmd --zone=<zone-name> --add-rich-rule="rule family="ipv4" \ source address="<ip-address>/<netmask>" port protocol="tcp" \ port="<port-number>" accept"
< zone-name >을 영역 이름으로, < ipaddress >를 IP 주소로, < net mask >를 CIDR 표기법의 서브넷 마스크로, < port-number >를 포트 번호 또는 범위로 바꿉니다. --permanent 플래그를 사용하여 프로세스를 반복하면 변경 사항이 재부팅 후에도 지속됩니다. 예를 들면 다음과 같습니다.
# firewall-cmd --zone=<zone-name> --add-rich-rule="rule family="ipv4" \ source address="<ip-address>/<netmask>" port protocol="tcp" \ port="<port-number>" accept" --permanent