IBM Cloud Docs
Hostbetriebssystem schützen

Hostbetriebssystem schützen

Die Komponente IBM Cloud® Juniper vSRX wird als virtuelle Maschine auf einem Bare-Metal-Server ausgeführt, auf dem Ubuntu und KVM installiert sind. Zum Schutz des Hostbetriebssystems müssen Sie sicherstellen, dass unter diesem Betriebssystem keine anderen kritischen Services gehostet werden.

SSH-Zugriff

Die Komponente IBM Cloud® Juniper vSRX kann mit Zugriff auf das öffentliche und das private Netz oder nur mit Zugriff auf das private Netz bereitgestellt werden. Standardmäßig wird der kennwortbasierte SSH-Zugriff auf die öffentliche IP-Adresse des Hostbetriebssystems bei neuen Bereitstellungen und beim erneuten Laden des Betriebssystems inaktiviert. Der Zugriff auf den Host ist über die private IP-Adresse möglich. Alternativ kann die schlüsselbasierte Authentifizierung für den Zugriff auf die öffentliche IP-Adresse verwendet werden. Geben Sie dazu bei einer Neubestellung für ein Gateway den öffentlichen SSH-Schlüssel an.

Einige vorhandene Implementierungen von IBM Cloud® Juniper vSRX ermöglichen möglicherweise kennwortbasierten SSH-Zugriff auf die öffentliche IP-Adresse des Hostbetriebssystems. Für diese Bereitstellungen können Sie den kennwortbasierten SSH-Zugriff auf die öffentliche IP-Adresse des Betriebssystems anhand der folgenden Schritte manuell inaktivieren:

  1. Ändern Sie /etc/ssh/sshd_config.

    • Stellen Sie sicher, dass die folgenden Werte festgelegt sind.

      ChallengeResponseAuthentication no
PasswordAuthentication no

    • Fügen Sie die folgenden Filterregeln am Ende der Datei hinzu.

      Match Address 10.0.0.0/8
    Password Authentication yes

  2. Starten Sie den SSH-Service mithilfe des Befehls /usr/sbin/service ssh restart erneut.

Mit dem oben beschriebenen Verfahren wird sichergestellt, dass Adressen im Teilnetz 10.0.0.0/8 des privaten Infrastrukturnetzes über SSH-Zugriff verfügen. Dieser Zugriff ist beispielsweise für Aktionen wie die folgenden erforderlich:

  • Erneutes Laden des Betriebssystems
  • Erneutes Erstellen des Clusters
  • Versionsupgrades

Firewalls

Die Bereitstellung einer Ubuntu-Firewall (UFW, Iptables usw.) ohne die erforderlichen Regeln kann zur Inaktivierung des vSRX-Hochverfügbarkeitsclusters führen. Die vSRX-Lösung ist abhängig von der Heartbeatkommunikation zwischen dem primären und dem sekundären Knoten. Wenn die Firewallregeln die Kommunikation zwischen den Knoten nicht zulassen, geht die Clusterkommunikation verloren.

Die vSRX-Architektur beeinflusst die unten beschriebenen Firewallregeln. Details zu den beiden Architekturen finden Sie unter vSRX-Standardkonfiguration.

Für HA-Bereitstellungen von vSRX Version 18.4, auf denen die traditionelle Architektur ausgeführt wird, werden folgende Regeln verwendet, um die Clusterkommunikation für UFW zu ermöglichen:

  • Zulassen von Protokoll 47 (verwendet für Heartbeatkommunikation) in /etc/ufw/before.rules:

    -A ufw-before-input -p 47 -j ACCEPT

  • Zulassen der Kommunikation im privaten Netz:

    ufw allow in from 10.0.0.0/8 to 10.0.0.0/8

  • Aktivieren von UFW:

    ufw enable

Für vSRX-Versionen, die mit der neueren Architektur ausgeführt werden, müssen die Firewallregeln Multicastkommunikation zulassen.

In einigen Fällen erfordern Fehlerbehebungsoperationen möglicherweise die Inaktivierung der Firewall für den Zugriff auf öffentliche Repositorys. In diesen Fällen sollten Sie mit dem IBM Support zusammenarbeiten, um zu verstehen, wie Sie fortfahren können.

Bei den meisten Gateway-Aktionen ist für das Hostbetriebssystem und die Komponente vSRX der SSH-Zugriff auf das private Teilnetz 10.0.0.0/8 erforderlich. Wird dieser Zugriff durch eine Firewall blockiert, können folgende Aktionen fehlschlagen:

  • Erneutes Laden des Betriebssystems
  • Erneutes Erstellen des Clusters
  • Versionsupgrades

Falls also der SSH-Zugriff auf das Teilnetz 10.0.0.0/8 inaktiviert ist, müssen Sie ihn wieder aktivieren, bevor Sie eine der genannten Aktionen ausführen.