<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html;

      charset=windows-1252">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p><br>

    </p>

    <br>

    <div class="moz-cite-prefix">On 8/6/2017 1:09 PM, <a

        class="moz-txt-link-abbreviated"

        href="mailto:lemonnierk@ulrar.net">lemonnierk@ulrar.net</a>

      wrote:<br>

    </div>

    <blockquote type="cite"

      cite="mid:20170806200934.GB10112@ciara.ulrar.net"><br>

      <blockquote type="cite">

        <pre wrap="">Are your gluster nodes physically isolated on their own network/switch?

</pre>

      </blockquote>

      <pre wrap="">Nope, impossible to do for us

</pre>

    </blockquote>

    <br>

    ok, yes, that makes it much harder to secure. <br>

    <br>

    You should add VLANS, and/or overlay networks and/or Mac Address

    filtering/locking/security which raises the bar quite a bit for

    hackers. Perhaps your provider can help you with that.<br>

    <br>

    Then there is the Gluster Auth stuff, which is cert based as I

    recall. Unfortunately, I don't have any experience with it as we

    have relied on unique seperate physical networks for our clusters.<br>

    Hackers (and us) can't even get to our Gluster boxes except via

    IP/KVM or the client itself.<br>

    <br>

    I'm now curious as to what you find and am thinking we should be

    looking at the Gluster Auth protocols as well.<br>

    <br>

    <br>

    <blockquote type="cite"

      cite="mid:20170806200934.GB10112@ciara.ulrar.net">

      <blockquote type="cite">

        <pre wrap="">In other words can an outsider access them directly without having to 

compromise a NFS client machine first?

</pre>

      </blockquote>

      <pre wrap="">Yes, but we don't have any NFS client, only libgfapi.

I added a bunch of iptables rules to prevent that from happening, if

they did use NFS which I am unsure of. If they used something else to

access the volume though, who knows .. It hasn't been re-hacked since so

that's a good sign.

</pre>

    </blockquote>

    <br>

    Well if you aren't using it, then turn NFS off. I think NFS is

    turned off by default in the new versions anyway in favor of

    NFS-Ganesha.<br>

    <br>

    But the original question remains, did they get into just the

    Gluster boxes or are they in the Client already?<br>

    <br>

    Unless they rooted the boxes and cleaned the logs, there should be

    some traces of activity in the various system and gluster logs. The

    various root kit checker programs may find something (chkrootkit)<br>

    <br>

    -bill<br>

    <br>

  </body>

</html>