集群防火墙管理
SonmiHPC集群中自带SSH防火墙功能,并且默认开启。
防火墙配置
在 /etc/sonmi/config.yaml 的以下字段中可以对防火墙进行设置:
sshd-keeper:
enabled: true # 是否启用
log-path: /var/log/secure # 过滤信息来源
save-path: /etc/sonmi/prisoners.json # 禁用用户存储文件
interval: 100 # 检查间隔,单位ms
max-retry: 5 # 用户允许最大尝试登陆的次数
sshd-keeper:
enabled: true # 是否启用
log-path: /var/log/secure # 过滤信息来源
save-path: /etc/sonmi/prisoners.json # 禁用用户存储文件
interval: 100 # 检查间隔,单位ms
max-retry: 5 # 用户允许最大尝试登陆的次数
一般保持默认配置即可。
通过命令行CLI工具可以进行以下的操作:
- ban <IP>:主动封禁特定IP
- banned:查看被封禁的IP列表
- unban <IP>:解封特定的IP
[root@sonmi ~]# sonmictl keeper -h
Manage firewall for cluster
Usage:
sonmictl keeper [command]
Available Commands:
ban Ban specified IP
banned Get all suspicious IPs
unban Unban specified IP or All banned IPs
Flags:
-h, --help help for keeper
Use "sonmictl keeper [command] --help" for more information about a command.
[root@sonmi ~]# sonmictl keeper -h
Manage firewall for cluster
Usage:
sonmictl keeper [command]
Available Commands:
ban Ban specified IP
banned Get all suspicious IPs
unban Unban specified IP or All banned IPs
Flags:
-h, --help help for keeper
Use "sonmictl keeper [command] --help" for more information about a command.
查看被禁用用户
通过执行sonmictl keeper banned
命令可以查看被封禁用户列表。
主动禁用IP
除了集群系统封禁用户之外,管理员也可以通过执行sonmictl keeper ban <IP>
指定封禁特定的IP。在下面示例用通过以下命令禁用了192.168.1.2的IP。
sonmictl keeper ban 192.168.1.2
sonmictl keeper ban 192.168.1.2
解禁被禁IP
管理员可以通过执行sonmictl keeper unban <IP>
命令来解禁特定的IP。在下面示例中通过以下命令解禁了192.168.1.2的IP。
sonmictl keeper unban 192.168.1.2
sonmictl keeper unban 192.168.1.2
也可以通过一下命令来解禁所有被封禁的IP:
sonmictl keeper unban all
sonmictl keeper unban all