【问题标题】:Mesoshpere dcos opensource no authentication when going toward marathonMesosphere dcos 开源,去马拉松时无需身份验证
【发布时间】:2019-03-13 15:21:46
【问题描述】:

我有两个 mesospheres 集群,一个在 1.11.3 版本上运行,一个在 1.12.0 版本上运行,我注意到两者都有这种安全风险。

访问 mesosphere dcos 主 IP 地址时,我需要使用我的电子邮件地址验证自己,然后才能访问任何内容或启动服务。但是,如果改为使用端口 8080 上的马拉松调度程序。master-ip:8080 我根本没有身份验证,我仍然可以不受任何限制地启动服务或销毁服务。

幸运的是,我关心的集群位于严格的防火墙之后,开放的端口数量有限,其中一个 8080 不再开放,从而解决了问题。但对我来说,这似乎是一个巨大的安全风险,这个网络上的任何人仍然可以直接进入,而无需对集群进行自我身份验证。他们可以在其中关闭正在运行的数据库或终止关键服务。

我是否需要更改我的 mesosphere dcos 配置以解决此问题,或者这只是一个开放的安全风险,您需要您的集群在其自己的网络上运行并打开严格的端口来解决此问题。

这是我的 DCOS 配置中的配置错误吗?

如果在开放网络上运行,这是否会带来重大安全风险?

【问题讨论】:

    标签: security configuration mesosphere


    【解决方案1】:

    您应该在 127.0.0.1 上绑定 marathon 或使用防火墙以仅允许指定 ip 然后使用带有 http 身份验证基本的 nginx 作为 marathon 的代理

    【讨论】:

      猜你喜欢
      • 2015-11-04
      • 1970-01-01
      • 1970-01-01
      • 2013-11-11
      • 2018-11-16
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2019-12-05
      相关资源
      最近更新 更多