我有两个中间层集群在版本1.11.3上运行一个,一个在1.12.0上运行,我注意到这两个都存在安全风险。
当去中间层dcos主站ip-adress我需要使用我的电子邮件地址验证自己,然后我才能到达任何地方或启动服务。但是如果转而使用端口8080上的martathon调度程序.master-ip:8080我完全没有认证,我仍然可以开始服务或破坏服务而没有任何限制。
幸运的是,我关心的集群背后是严格的防火墙,有限数量的端口开放,其中一个8080不再开放,解决了这个问题。但对我来说,这似乎是一个巨大的安全风险,这个网络上的任何人都可以在没有向集群自我验证的情况下进入。他们可以关闭正在运行的数据库或杀死关键服务。
我是否需要更改我的中间层dcos配置才能涵盖此问题,或者这只是一个开放的安全风险,您需要群集在自己的网络上运行,并打开严格的端口来解决此问题。
这是我的DCOS配置中的配置错误吗?
或者,如果在开放网络上运行,这是一个主要的安全风险吗?
您应该在127.0.0.1上绑定marathon或使用防火墙仅允许指定ip然后使用nginx和http authentication basic作为马拉松的代理