کار مرتبط با امنیت رو تجربی انجام ندین؛ ۵۰۰۰ ترابایت اطلاعات هدوپ ناامن هستن

قبلا هم توی رادیو گیک در این مورد حرف زدیم که راه انداختن سرویس با سعی و خطا معمولا اصلی ترین دلیل ایجاد مشکلات امنیتی است. وقتی ما نمی دونیم داریم چیکار می کنیم هی سیستم رو بازتر و بازتر می کنیم تا بالاخره اتفاق مورد نظر بیافته و بعد دیگه نمی دونیم حالا کجا رو باید ببندیم.

این اتفاقا مثل اینه که شما تلاش کرده باشین مجوز ورود یک فرد خاص رو به خونه تون بدین. چون دقیقا نمی دونین کدوم کلیدها رو باید براش بسازین، پنجره رو باز میذارین و بهش می گین بیاد تو. اون تست می کنه و نمی تونه. بعد در پارکینگ رو باز می کنین و بهش می گین بیاد تو، نمی تونه. بعد کلا قفل در رو می کنین و بهش می گین بیاد تو، اون نمی تونه چون پلاک خونه رو درست بهش نگفتین. بعد از اینکه چند بار دیگه سعی می کنین و اجزای دیگه خونه رو خراب می کنین، بالاخره می فهمین که مشکل اشتباه بودن پلاک بوده و این رو که هماهنگ می کنین اون با موفقیت می یاد تو و شما هم می گین «ایول.. پس درست شد!». و همه خونه بازه.

این اتفاق توی دنیای کامپیوتر هم بسیار مرسومه. وب سرور ما کار نمی کنه در نتیجه همه چیز ۷۷۷ می کنیم (قابل نوشتن و خوندن و اجرا توسط همه). بعد که بازم کار نمی کنه دسترسی ها رو عوض می کنیم و بعد یکهو یادمون می افته selinux باید خاموش بشه و اون رو خاموش می کنیم و درست می‌شه.

در شکل دیگه ای از این ایجاد مشکل که قبلا بسیار مرسوم بود و به تازگی بازم دائما دیده می شه، مدیر سیستم نیاز داره در مورد چیزی اطلاعات امنیتی دقیق داشته باشه ولی چون حوصله نداره این اطلاعات رو جمع کنه، به شکل تجربی برنامه ای رو نصب می کنه و همین که راه افتاد فکر می کنه مساله تموم شده. این مساله به راحتی می تونه شما رو با سیستم های کاملا دسترسی پذیر از کل جهان تنها بذاره. قبلا به مونگو دی بی نسخه های قبلتر اشاره کردم که اینستال دیفالتش بسیار ناامنه. حالا همین مساله به شدت با HDFS اتفاق افتاده.

در یک بررسی جدید نشون داده شده که حداقل ۴۴۸۷ مورد نصب دیفالت هدوپ قابل دسترسی در اینترنت وجود داره که بیشتر از ۵۰۰۰ ترابایت دیتا روشون ذخیره شده. از این تعداد ۱۹۰۰ تا در آمریکا و۱۴۲۶ تا در چین هستن. کشورهای بعدی آلمان و کره با ۱۲۹ و ۱۱۵ نصب قراردارن.

کل ماجرا تکراری است بر اینکه اگر نمی دونین دارین چیکار می کنین، اول یاد بگیرین یا از یک متخصص کمک بگیرین. نصب دیفالت گاهی می تونه بسیار خطرناک باشه و سعی و خطا کردن برای رسیدن به نتیجه مورد نظر، تقریبا همیشه همراه با تضعیف ایمنی سیستم است.

  • Mobin Ranjbar

    سلام جادی. من قبلا در مورد روش های ایجاد امنیت در هدوپ در پست زیر نوشتم : http://hadoop.ir/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%AF%D8%B1-%D9%87%D8%AF%D9%88%D9%BE-%D8%A8%D8%AE%D8%B4-%D8%A7%D9%88%D9%84/

  • milux

    البته وقتی داریم در مورد چند پتابایت دیتا حرف می‌زنیم به صرفه نیست بیاییم کلی مکانیزم امنیتی روش لحاظ کنیم چون سربار پردازشی که میندازه می‌تونه داده رو غیر قابل استفاده کنه بخاطر همین خیلی‌ها میان کلاستر رو توی یک محیط ایزوله قرار میدن و فرض رو بر این می‌ذارن که امنه ولی خب بعدا مشخص میشه سوتی دادن….
    مکانیزم‌های امنیتی مثل کربروس هست ولی این در حقیقت فقط بدرد این می‌خوره که کاربران (در حقیقت برنامه نویس ‌های خودمون) توی کار هم دخالت نکن (مثلا job کسی دیگه رو kill نکنن).
    به نظر من بهتره محیط کلاستر رو امن کنیم و روال‌هایی مناسبی برای کار باهاش در نظر بگیریم.

  • Zhilevan Ibra

    یه قسمت مثلا اینجاست و بیشتر از اون انتقاد رو به توسعه دهنده های اون نرم افزار یا فریم ورک نسبت داد. یکی از فازهای توسعه نرم افزار رعایت امنیت و ایمن سازی مگه اینکه کسانی که توسعه میدن مهندسی نرم افزار بلد نیستن و یا نادیده اش میگیرن !!!