Блог

У меня есть два кластера mesospheres, один из которых запущен в версии 1.11.3, а другой — в версии 1.12.0, и я заметил эту угрозу безопасности в обоих.

При переходе к главному IP-адресу mesosphere dcos мне нужно аутентифицироваться, используя свой адрес электронной почты, прежде чем я смогу связаться с чем-либо или запустить службу. Но если вместо этого перейти к планировщику martathon на порту 8080. master-ip:8080 у меня вообще нет аутентификации, и я все еще могу запустить службу или уничтожить службу без каких-либо ограничений.

К счастью, кластер, о котором я забочусь, находится за строгими брандмауэрами, с ограниченным количеством портов, один из которых 8080 больше не открыт, что решает проблему. Но мне это кажется огромным риском для безопасности, любой пользователь в этой сети все еще может просто войти, не аутентифицируясь самостоятельно в кластере. где они могут отключить работающую базу данных или отключить критически важную службу.

Нужно ли мне изменять конфигурацию моей mesosphere dcos, чтобы она покрывала это, или это просто открытая угроза безопасности, и вам нужно, чтобы ваш кластер работал в своей собственной сети со строго открытыми портами для решения этой проблемы.

Это ошибка конфигурации в моей конфигурации DCOS?

Или это серьезная угроза безопасности при запуске в открытой сети?

Вы должны привязать marathon к 127.0.0.1 или использовать брандмауэр, чтобы разрешить только указывать ip, затем использовать nginx с http authentication basic в качестве прокси для marathon