Saeid Bostandoust
یکی از نیازهای عمده دوآپس(DevOps) استقرار امن نرم افزار در محیط تجاری است. در این پست نحوه دسترسی امن راه دور به سرور داکر در پروژه های داکرایز شده رو بهتون آموزش میدم. خیلی وقتا پیش میاد که نیاز هست نرم افزار از محیط توسعه به محیط تجاری که عموما روی اینترنت قرار داره به طور خودکار منتقل بشه یا مهندسین دوآپس و مدیران سیستم میخوان از راه دور سرورهای داکر زیادی رو مدیریت کنن. در این حالت چطور میشه یک راه اصولی و ایمن برای ارتباط فراهم کرد؟
Link Aggregation امکانی در شبکه است که می تواند تعدادی درگاه شبکه را با یکدیگر تجمیع نموده و توان و سرعت شبکه را افزایش دهد. همچنین این قابلیت امکان ایجاد افزونگی و تحمل خطا را فراهم می نماید. فرض کنید که سرور شما دارای چند درگاه شبکه است که با استفاده از Link Aggregation می توانید آن ها را در یک گروه تجمیع درگاه(LAG) تعریف نموده و یک درگاه شبکه منطقی ایجاد نمایید که علاوه بر افزایش توان و سرعت شبکه، در صورتی که یکی از خطوط شبکه دچار اختلال شد، ارتباط با شبکه قطع نشود و از طریق دیگر خطوط فیزیکی ارتباط پایدار بماند.
در سیستم های ذخیره سازی توزیع شده(Distributed Systems) که معمولا مجموعه ای از سرورها به صورت خوشه ای(Cluster) با یکدیگر در ارتباط بوده و با یک منبع ذخیره سازی اشتراکی(Shared-storage) در تماس هستند، یکی از وضعیت های ممکن که امنیت داده را تهدید می نماید وضعیت Split-brain است. این وضعیت زمانی اتفاق می افتد که به دلیل طراحی نادرست شبکه اختصاصی کلاستر یا خارج از سرویس شدن سرورها و عدم ارتباط و هماهنگ سازی داده ها، سیستم با دو مجموعه داده روی هم افتاده(Overlap) روبرو شود.
گراب یکی از بوت لودر های محبوب چند مرحله ای است که می تواند سیستم عامل های مختلف را بارگذاری و اجرا نماید. این بوت لودر که به صورت پیشفرض در توزیع های گنو/لینوکس و سیستم عامل سولاریس مورد استفاده قرار می گیرد با امکانات بسیار زیادی که در اختیار کاربر قرار می دهد، امکانی را فراهم نموده که قبل از بوت سیستم عامل بتوان تنظیمات مختلفی را اعمال نمود که وجود این قابلیت بدون سطح دسترسی محدود می تواند سیستم را دچار مشکلات امنیتی نماید. به عنوان مثال می توانید بدون پسورد کاربر روت، به حساب کاربری آن وارد شوید. به همین جهت قصد دارم در این نوشته کوتاه و کاربردی نحوه ایمن سازی گراب و جلوگیری از ویرایش تنظیمات بوت را به شما آموزش دهم.
در قسمت اول به توضیح مقدماتی در مورد آسیب پذیری LFI پرداختیم. همانطور که گفته شد در توابع یاد شده ممکن است ورودی کاربر با مقادیری دیگر ترکیب شده و سپس عمل فراخوانی صورت گیرد. در این قسمت به بررسی نمونه کدهایی جهت شناسایی این آسیب پذیری خواهیم پرداخت.
توجه: نمونه کدهای زیر به عنوان مثال نوشته شده و ممکن است در فضای واقعی متفاوت باشد.
