Files
Baradb/docs/tr/security.md

1.7 KiB
Raw Permalink Blame History

Güvenlik Rehberi

TLS/SSL Şifreleme

BaraDB tüm protokoller için TLS 1.3 destekler. Sertifika sağlanmazsa, sunucu sıfır yapılandırma şifrelemesi için başlangıçta otomatik olarak kendinden imzalı sertifika üretir.

Özel Sertifika Kullanımı

BARADB_TLS_ENABLED=true \
BARADB_CERT_FILE=/etc/baradb/server.crt \
BARADB_KEY_FILE=/etc/baradb/server.key \
./build/baradadb

Kendinden İmzalı Sertifika Oluşturma

openssl req -x509 -newkey rsa:4096 -keyout server.key -out server.crt \
  -days 365 -nodes -subj "/CN=localhost"

Kimlik Doğrulama

JWT Tabanlı Kimlik Doğrulama

BaraDB HMAC-SHA256 imzalı JWT kullanır.

Kimlik Doğrulamayı Etkinleştirme

BARADB_AUTH_ENABLED=true \
BARADB_JWT_SECRET="$(openssl rand -hex 32)" \
./build/baradadb

Rol Tabanlı Erişim Kontrolü

Rol İzinler
admin Tam erişim
write Okuma + Yazma
read Salt okunur
monitor Yalnızca metrikler ve sağlık

Hız Sınırlama

Token-bucket hız sınırlama kötüye kullanımı önler:

var rl = newRateLimiter(
  rlaTokenBucket,
  globalRate = 10000,
  perClientRate = 1000,
  burstSize = 100
)

Ağ Güvenliği

Bağlama Adresi

BARADB_ADDRESS=0.0.0.0 ./build/baradadb

Güvenlik Kontrol Listesi

  • Varsayılan JWT sırrını değiştirin
  • Geçerli sertifikalarla TLS'yi etkinleştirin
  • Belirli arayüzlere bağlayın
  • Üretimde kimlik doğrulamayı etkinleştirin
  • Hız sınırlama yapılandırın
  • Denetim günlüğünü etkinleştirin
  • Durağan verileri şifreleyin (LUKS veya uygulama düzeyinde)
  • BaraDB'yi root olmayan kullanıcı olarak çalıştırın