我知道HornetQ提供
我的用例:
我的HornetQ服务器将/应该在公共主机上运行(=绑定到公共IP的服务),任何人都可以访问(=任何人都可以通过端口扫描检测服务......)
我的问题:
1。)据我所知,netty SSL Transport不通过SSL提供身份验证(如果我看到它正确,则计划在3.0版本中使用)。所以它只能保证传输,但是每个人都可以连接到HornetQ服务器吗?
2.。)角色基础安全具有7个可以授予的权限。我的问题是。如果我撤销所有权利,这被认为是安全的吗?如果某人连接时没有任何这些权利(并且默认用户没有分配任何特权/角色/全部被撤销),HornetQ会安全吗?或者强烈反对这一点,因为它仍然提供对系统的深入访问?
3。)表现。如果2.)是安全的。有人用“未经身份验证”的消息攻击我的系统。基于角色的安全模型是在非常高的级别上实现的(因此不会占用大量资源),或者这会使DOS非常容易,因为它必须通过大量处理深入到服务器中(并且还提供了更多的攻击媒介,因为攻击者将深深地进入系统...)
非常感谢!! 马库斯
答案 0 :(得分:2)
1)是的,有一个功能请求。
2)如果您进行了正确的配置,您应该受到保护。
3)表现应该没问题
但是,我不确定任何系统会因某种大规模攻击而被罚款。除了基本安全之外,您可能还需要其他类型的措施。
与任何其他软件一样,可能会有所改进。作为HornetQ的项目开发人员/负责人,我们始终对任何建议持开放态度,我们将修复发现和提交的任何漏洞和错误。