本教程的第二部分將介紹如何設(shè)置和保護(hù)多服務(wù)器CrowdSec安全引擎的安裝。在第一部分中，我們講解瞭如何在多臺(tái)服務(wù)器上設(shè)置CrowdSec安全引擎，其中一臺(tái)服務(wù)器作為父服務(wù)器，另外兩臺(tái)服務(wù)器將警報(bào)轉(zhuǎn)發(fā)給它。

本部分將解決先前多服務(wù)器安全引擎安裝中明文HTTP通信帶來(lái)的安全問(wèn)題。為了解決這個(gè)問(wèn)題，我們建議通過(guò)加密通道建立安全引擎之間的通信。此解決方案允許服務(wù)器2或服務(wù)器3信任服務(wù)器1的身份，並避免中間人攻擊。

使用自簽名證書

創(chuàng)建證書首先，您需要?jiǎng)?chuàng)建一個(gè)證書。這可以通過(guò)以下單行命令實(shí)現(xiàn)：

openssl req -x509 -newkey rsa:4096 -keyout encrypted-key.pem -out cert.pem -days 365 -addext "subjectAltName = IP:172.31.100.242"

目前，安全引擎在啟動(dòng)時(shí)無(wú)法請(qǐng)求私鑰的密碼。因此，您可以選擇每次啟動(dòng)或重新加載安全引擎時(shí)手動(dòng)解密私鑰，或者將密鑰未加密地存儲(chǔ)。無(wú)論哪種方式，要?jiǎng)h除密碼，您可以使用以下命令：

openssl rsa -in encrypted-key.pem -out key.pem

然後，在安全引擎啟動(dòng)後，可以安全地刪除未加密的密鑰文件。

配置安全引擎以使用自簽名證書在服務(wù)器1上，您需要配置安全引擎以使用生成的證書。如下所示，以下/etc/crowdec/config.yaml摘錄中api.server部分的tls.cert_file和tls.key_file選項(xiàng)設(shè)置為生成的證書文件。

api:
  server:
    log_level: info
    listen_uri: 10.0.0.1:8080
    profiles_path: /etc/crowdsec/profiles.yaml
    online_client: # Crowdsec API credentials (to push signals and receive bad 

    tls:
      cert_file: /etc/crowdsec/ssl/cert.pem
      key_file: /etc/crowdsec/ssl/key.pem

在客戶端，配置更改發(fā)生在兩個(gè)文件中。首先，修改/etc/crowdec/config.yaml以接受自簽名證書，方法是將insecure_skip_verify設(shè)置為true。

您還需要在/etc/crowdsec/local_api_credentials.yaml文件中將HTTP更改為HTTPS以反映這些更改。此小的更改必須在所有三臺(tái)服務(wù)器（服務(wù)器1、服務(wù)器2和服務(wù)器3）上完成。

注意：請(qǐng)記住，如果服務(wù)器1也用作日誌處理器，則也必須在此服務(wù)器上進(jìn)行此LAPI配置。

url: https://10.0.0.1:8080/
login: <login>
password: <password></password></login>

旁注：顯然，使用自簽名證書不會(huì)對(duì)LAPI服務(wù)器的所有權(quán)提供任何保證。使用該服務(wù)的服務(wù)器（在此設(shè)置中為服務(wù)器2或服務(wù)器3）仍然容易受到中間人攻擊，但至少此設(shè)置提供了加密通信。這就是需要InsecureSkipVerify選項(xiàng)的原因。

使用證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書

Let's Encrypt或Amazon ACM等服務(wù)可以通過(guò)為可以添加到/etc/hosts或本地DNS服務(wù)器的完全限定域名頒發(fā)證書來(lái)解決InsecureSkipVerify問(wèn)題。然後，可以使用此指定的完全限定域名填充/etc/crowdsec/local_api_credentials.yaml。

這確實(shí)有效，並防止設(shè)置InsecureSkipVerify選項(xiàng)。只要可以信任DNS配置，這就能確保客戶端和服務(wù)器之間的通信不會(huì)被篡改，但這仍然應(yīng)該被視為一種變通方法。

使用PKI

配置和管理SSL公鑰基礎(chǔ)設(shè)施（PKI）的過(guò)程不在本教程的範(fàn)圍內(nèi)，但我強(qiáng)烈建議您查看OpenSSL官方文檔。簡(jiǎn)單的PKI方案足以滿足此安全引擎設(shè)置的需求。

根據(jù)OpenSSL文檔，有一些值得一提的事情。

要在我們的CrowdSec TLS方案中使用，證書請(qǐng)求必須使用與Crowdsec LAPI服務(wù)器的IP相對(duì)應(yīng)的主題替代名稱發(fā)出。這可以通過(guò)在調(diào)用OpenSSL進(jìn)行證書請(qǐng)求時(shí)定位SAN環(huán)境變量來(lái)完成（請(qǐng)參閱OpenSSL簡(jiǎn)單PKI方案中的步驟3.3）。

openssl req -x509 -newkey rsa:4096 -keyout encrypted-key.pem -out cert.pem -days 365 -addext "subjectAltName = IP:172.31.100.242"

在啟動(dòng)CrowdSec安全引擎之前，必須將根證書和簽名證書的公共部分（在OpenSSL簡(jiǎn)單PKI方案的步驟4.5中創(chuàng)建的捆綁文件）添加到本地證書存儲(chǔ)區(qū)。在此設(shè)置中，這是連接到LAPI服務(wù)器所必需的。有很多方法可以做到這一點(diǎn)，golang源代碼指定了預(yù)期證書的位置，或者您可以在systemd服務(wù)文件中使用SSL_CERT_FILE環(huán)境變量來(lái)指定啟動(dòng)安全引擎時(shí)查找證書的位置。

關(guān)於CrowdSec和TLS身份驗(yàn)證的更新說(shuō)明

在本文首次發(fā)表後，我們?cè)诎踩嬷刑砑恿艘豁?xiàng)新功能，您現(xiàn)在不僅可以保護(hù)TLS上的通信，還可以使用證書確保身份驗(yàn)證。在官方文檔中，您可以找到一個(gè)很好的示例，該示例顯示瞭如何在安全引擎之間或安全引擎和補(bǔ)救組件之間使用證書進(jìn)行TLS身份驗(yàn)證。

結(jié)論

本文重點(diǎn)介紹瞭如何保護(hù)不同CrowdSec安全引擎安裝之間的通信。所考慮的用例是在私有網(wǎng)絡(luò)中的安全引擎安裝，但這也可以在具有互聯(lián)網(wǎng)通信的公共網(wǎng)絡(luò)上部署。在這種情況下，第三方證書很容易就能解決問(wèn)題。

根據(jù)需要，我們提出了三種不同的方法來(lái)實(shí)現(xiàn)安全引擎之間的安全TLS通信——使用自簽名證書、使用證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書和使用SSL公鑰基礎(chǔ)設(shè)施。

第一種方案（使用自簽名證書）僅適用於您希望確保加密通信而無(wú)需身份驗(yàn)證的情況。當(dāng)您可以修改本地DNS解析時(shí)，才可以考慮第二種方案。第三種方案是最複雜的，但它適合大多數(shù)用例，並且在安全問(wèn)題嚴(yán)重時(shí)可能是最佳選擇。

希望本教程對(duì)您有所幫助。感謝您的閱讀，敬請(qǐng)期待！

如果您有任何疑問(wèn)或反饋，請(qǐng)隨時(shí)通過(guò)我們的Discord和Discourse社區(qū)平臺(tái)與我們聯(lián)繫。

以上是使用https保護(hù)多服務(wù)器安全引擎安裝的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！