Как зашифровать Erlang RPC звонки (и Mnesia Replication) и другой трафик

Question

Я полагаю, что общение между узлами происходит в открытом виде и что значение cookie строго используется для аутентификации. (У меня пока нет никаких доказательств).

1. Как мне зашифровать междоминную связь?
2. Как зашифровать сообщения репликации Mnesia?
3. Как настроить брандмауэр и фильтры пакетов, чтобы эти сообщения могли проходить?
4. Как я могу предотвратить отслеживание трафика Эрланга?

Answer 1

Ну, поскольку все это работает по IP, одним из вариантов будет использование IPSec между вашими узлами. Зашифрованные VPN-подключения также могут помочь. Ни один из них не требует каких-либо изменений на стороне Erlang, ни программы Erlang, ни среда выполнения не будут знать, что происходит шифрование, за исключением (надеюсь) редких случаев атак, которые приводят к сбою связи, и в этом случае она будет выглядеть как будто другой узел не работает.

Answer 2

Вы можете использовать SSH-туннель для передачи всех сообщений erlang через него, используя параметр -rsh ssh, вы захотите настроить аутентификацию на основе сертификатов для ssh (т.е. без паролей). Тогда вы можете просто использовать что-то вроде

erl -rsh ssh ....

Для получения дополнительной информации, пожалуйста, смотрите:

• Объединение в пул и автоматическое распределение кода с помощью Erlang
• Запуск набора узлов кластера Erlang с SSH

Answer 3

Теперь это возможно из коробки с использованием пользовательского модуля распространения inet_tls_dist. В документации содержится руководство о том, как использовать модуль inet_tls_dist в качестве модуля распределения для получения зашифрованных соединений между узлами кластера. Я не уверен, когда все эти функции были введены, но я знаю, что они присутствуют в Erlang 18.2 и новее.

Erlang Solutions также написал сообщение в блоге на эту .

Answer 4

Есть в основном два варианта:

1. Используйте SSL для подключения узлов Erlang , как описано при выходе из ловушки
2. Используйте базовые IP-механизмы , такие как VPN или IpSEC