【prometheus添加用户认证】

chulaixuezhe_xeq

已于 2024-07-05 11:09:53 修改

阅读量1.7k

点赞数 8

文章标签： prometheus 安全

于 2024-07-02 09:50:50 首次发布

本文链接：https://blog.csdn.net/chulaixuezhe_xeq/article/details/140118231

版权

prometheus添加用户认证

前言：Prometheus于2.24版本（包括2.24）之后提供Basic Auth功能进行加密访问，在浏览器登录UI的时候需要输入用户密码，访问Prometheus api的时候也需要加上用户密码。

官网也给出了解决方法，但经试验，以下方法更方便

1、安装http-tools

yum install http-tools -y

2、执行如下命令：

htpasswd -nBC 102 '' |tr -d ':\n'

输入两次需要加密的密码

上图中红框内容即为加密后的密码

3、编辑用户认证yml文件，yml文件名称可以随便起，我这里取名叫：web.yml（建议放在prometheus安装路径），如果需要添加多个用户，在下面直接添加即可

vim web.yml

4、重新启动prometheus（我这边安装使用tar包安装的，docker和k8s安装的修改对应的yml文件，把--web.config.file=/you_path/web.yml加入对应位置）

nohup /you_path/prometheus --config.file=/you_path/prometheus.yml --web.config.file=/you_path/web.yml --storage.tsdb.path=/prometheus-data/data --web.enable-lifecycle &

其中you_path为prometheus的安装路径，--config.file为prometheus的主配置文件，--web.config.file为用户认证的配置文件

5、验证

在浏览器输入prometheus地址，出现如下弹窗则配置成功，此处用户名密码输入未加密的密码

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

chulaixuezhe_xeq

关注关注

8
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Prometheus 登录用户认证

极致，细节

01-19

2614

prometheus默认是没有用户密码登录认证的，对于部分环境可能会存在受攻击风险，以下实现安全用户密码登录。

Prometheus 加密配置、登录认证两种方式及踩坑。

MovemOemVeovE的博客

06-07

4854

Prometheus 加密配置、登录认证两种方式及踩坑。

参与评论您还未登录，请先登录后发表或查看评论

为 Prometheus Node Exporter 加上认证

GitChat

05-28

659

Prometheus 是最早由 SoundCloud 开源的监控告警解决方案。并已经成长为继 Kubernetes 之后，第二个从 CNCF 毕业的项目。伴随着云原生理念的普及和 Kubernetes 等技术的发展， Prometheus 在监控领域也有了长足的发展。其主要组件包括 Prometheus，Alertmanager，Node Exporter，Blackbox Exporter 和...

Promethues 添加访问密码

最新发布

eyeofeagle的博客

03-20

323

【代码】Promethues 添加访问密码。

prometheus怎么增加身份认证

m0_37680131的博客

08-04

1811

前言：prometheus默认是没有用户密码登录认证的，对于部分环境可能会存在受攻击风险，那么怎么实现用户密码的身份验证呢？执行docker-compose up -d启动prometheus。修改prometheus的docker-compose配置文件。登录prometheus验证，已经成功添加密码认证了。vim新建文件basic_auth.yaml。3、增加密码认证的启动配置。2、增加身份认证配置文件。1、对密码进行哈希处理。执行脚本，生成加密密码。微信公众号：运维之美。

kube-prometheus添加身份认证

weixin_41647372的博客

02-28

1070

由于promethues采用了prometheus-config-reloader来热更新配置文件，会出现401未认证的问题,并导致pod会出现OOM错误，重启pod。所以我们需要修改prometheus-promethues.yaml文件，覆盖prometheus-operator生成的默认配置。修改promethues-prometheus.yaml部署文件。新增promethues-config的configMap文件。完成后部署文件，即可看到promethues需要校验的弹框。

Prometheus配置认证

Asuicao的博客

03-13

1558

升级后prometheus-server服务起不来，原因：健康检查配的url检查，报。使用Base64编码转换对应的账号密码。使用Base64编码加密后。

Prometheus中添加基本身份验证功能

小太阳DENGJIE的博客

06-26

857

重启Prometheus后，尝试通过浏览器访问Prometheus的Web UI。输入之前设置的用户名和原始密码123456（不是哈希后的密码，），如果一切正常，应该能够成功登录并查看Prometheus的监控数据。在Prometheus的配置目录下（例如/etc/prometheus，和prometheus.yml配置文件同目录），创建一个新的YAML配置文件，如web.yml。脚本会提示输入密码，然后输出哈希后的密码串。使用Prometheus提供的promtool工具来验证配置文件的正确性。

Prometheus加入BasicAuth认证，通过配置 Prometheus 的 Web 身份验证来限制访问debugpprof

m0_74825108的博客

12-24

901

Prometheus 作为监控工具，暴露了大量的系统监控数据和配置信息，这些数据可能包含敏感信息。Prometheus 默认没有身份验证，任何能够访问 Prometheus Web 界面的人都可以查看和查询这些数据。此外Prometheus Web 界面的/debug/pprof/接口存在信息泄露漏洞如果整改需要重新注释掉net/http/pprof，以及相关代码块，重新编译，比较麻烦，也可以采用这种身份验证来限制访问/debug/pprof/的方式来整改。

Prometheus 添加 basic auth加密认证

weixin_44493458的博客

12-05

2482

prometheus 添加 basic auth 认证

一文掌握Prometheus实现页面登录认证并集成grafana

小橙子的笔记屋

07-17

860

prometheus登录认证

部署Prometheus Operator并配置basic Auth认证（保姆级）

m0_54211157的博客

05-21

1588

本文采用Operator方式简便部署kube-Prometheus。什么是Operator？Operator=Controller+CRD（Custom Resource Definition）它来自于Kubernetes的理念,即用户可以定义新的管理配置的API对象,然后编写Controller来实现对云原生产品的管控需求[1]在kube-Prometheus的。

【Prometheus】为Prometheus设置basic_auth访问权限

cnskylee的博客

10-24

1399

Prometheus配置basic_auth的完整步骤说明

Prometheus加入BasicAuth认证，通过配置 Prometheus 的 Web 身份验证来限制访问/debug/pprof/

m0_63004677的博客

12-09

1706

为prometheus设置登录认证

weixin_35755562的博客

02-11

1323

Prometheus是一个开源的监控系统，它默认是没有设置登录认证的。要为Prometheus设置登录认证，可以使用以下几种方法：通过代理服务器：可以使用Nginx或Apache作为代理服务器，在代理服务器上设置登录认证，这样就可以为Prometheus设置登录认证了。通过Prometheus自带的Basic Authentication：可以在Prometheus配置文件中添加一些参数，...

prometheus 添加 login 登录认证界面（nginx + flask 实现）

rainbowhhyhhy的博客

11-07

7652

前言 prometheus是现在一个比较主流的监控软件，随着容器的普及，prometheus的应用越来越广泛，前面我也有专门讲到prometheus的相关文章。但是跟传统老牌的zabbix监控不一样，prometheus的web UI是没有登录认证的，有时候显得没有安全性，本文就主要讲解一下如何为prometheus添加一个登录认证界面。其实像elasticsearch、consul等一些服务的web UI也是没有登录认证的，都可以使用本文的方式进行实现。 &

Prometheus的TLS认证

可问春风的博客

01-12

4293

对于一些隐私数据的 Exporter，有时我只想让 Prometheus 访问而不想暴露出来，一种方式是通过双向 TLS 加密认证来完成，在这篇文章中我将介绍一下我是如何实现这个的。所谓双向加密，那么就是双方的事情，这里分别有： Prometheus 怎样自带证书去拉取 Exporter Exporter 如何以 TLS 的形式暴露出来所以这两个问题就是这一篇文章要解决的问题。因为第一个问题依赖于第二个问题，所以，我第一步肯定要先解决第二个问题，然后才能介绍如何解决第一个问题。 Exporter TL

Prometheus 配置身份认证

分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题

01-20

2691

上述配置为官方的配置文档，如果我们要开启Prometheus的 Web的身份认证，简单配置只需要添加。Prometheus 使用默认方式安装是不带有身份证认证和TLS，需要单独配置开启。Prometheus 配置文件为yaml格式，并且单独配置，官网命名为。安全性高一些，配置TLS，如下为必配选项，证书生成可见其他网站。Grafana 系列文章，版本：OOS v9.3.1。在Grafana 配置数据源选项的时候，要开启。密码使用bcrypt加密，可以使用工具。，输入正确的用户名和密码。

prometheus登录认证

weixin_46018506的博客

02-01

1267

prometheus登录认证

prometheus怎样在配置文件中添加基础认证

03-12

<think>好的，用户之前问过如何在Prometheus中实现访问控制，现在他具体想知道如何在配置文件中添加基础认证。我需要回想一下，Prometheus本身是否支持在配置文件中直接配置基础认证。根据之前的知识，Prometheus的组件比如Alertmanager支持基础认证，但Prometheus Server本身并不支持在配置文件中直接添加HTTP基础认证。用户可能误解了，以为像Nginx那样可以在Prometheus的配置文件中直接设置用户名和密码。但实际情况是，Prometheus需要通过外部工具如反向代理来实现基础认证。因此，我需要澄清这一点，避免用户尝试在prometheus.yml中添加不支持的配置导致错误。不过，用户的问题明确提到“在配置文件中添加基础认证”，可能需要检查是否有新版本的Prometheus支持了这个功能。查阅最新文档，确认Prometheus Server仍然不直接支持基础认证，必须依赖反向代理或其他中间件。因此，正确的回答应该是解释这一点，并提供通过Nginx或类似工具配置的方法，同时也可以提到Prometheus的exporter或其他组件可能支持的情况，但Server本身不支持。另外，用户可能有实际需求，不想引入额外的组件，希望直接在Prometheus中配置认证。这时候需要明确告知不可行，并提供替代方案。同时，用户可能对安全性有要求，需要强调使用基础认证的局限性，并建议更安全的方法如OAuth2或双向TLS。总结回答的结构：首先说明Prometheus本身不支持，然后给出通过反向代理的步骤，再提到其他组件如Alertmanager的支持情况，最后给出最佳实践建议。确保用户理解正确的配置位置和方法，避免配置错误导致服务不可用。</think>Prometheus **自身不直接支持在配置文件中配置基础认证**（如用户名密码），但可以通过反向代理（如Nginx、Apache）或集成第三方工具（如OAuth2 Proxy）实现。以下是分步骤实现方案： --- ### 一、通过反向代理添加基础认证（以Nginx为例） #### 1. 配置Nginx基础认证 1. **生成密码文件** 使用`htpasswd`创建加密的密码文件（需安装`apache2-utils`）： ```bash sudo htpasswd -c /etc/nginx/.htpasswd prometheus_user # 创建用户prometheus_user并设置密码 ``` 2. **配置Nginx反向代理** 在Nginx配置文件中（如`/etc/nginx/sites-available/prometheus`）添加以下内容： ```nginx server { listen 80; server_name prometheus.example.com; location / { auth_basic "Prometheus Authentication Required"; auth_basic_user_file /etc/nginx/.htpasswd; # 指向密码文件 proxy_pass http://localhost:9090; # 转发到Prometheus服务 proxy_set_header Host $host; } } ``` 3. **重启Nginx生效** ```bash sudo systemctl restart nginx ``` #### 2. 验证访问 - 浏览器访问 `http://prometheus.example.com`，会弹出登录窗口，需输入用户名密码。 - 命令行验证： ```bash curl -u prometheus_user:password http://prometheus.example.com ``` --- ### 二、Prometheus配置文件相关调整虽然无法直接在`prometheus.yml`中配置认证，但可通过以下参数增强安全性： 1. **限制监听地址** 启动Prometheus时，绑定到本地回环地址（避免直接暴露到公网）： ```bash ./prometheus --web.listen-address=127.0.0.1:9090 ``` 2. **配置TLS加密（可选）** 若需加密通信，可启用HTTPS： ```yaml # prometheus.yml web: tls_server_config: cert_file: /path/to/cert.pem key_file: /path/to/key.pem ``` --- ### 三、其他组件的基础认证配置若需为Prometheus生态工具（如Alertmanager）添加基础认证，可直接在它们的配置文件中实现： #### Alertmanager示例 ```yaml # alertmanager.yml route: receiver: default receivers: - name: default webhook_configs: - url: http://webhook.example.com http_config: basic_auth: username: admin password: securepassword ``` --- ### 四、替代方案：OAuth2 Proxy 若需企业级认证（如SSO、GitHub登录等），可使用[OAuth2 Proxy](https://oauth2-proxy.github.io/oauth2-proxy/)： 1. 部署OAuth2 Proxy，配置身份提供商（如Google、GitHub）。 2. 在反向代理中设置将所有请求转发至OAuth2 Proxy，再代理到Prometheus。 --- ### 五、最佳实践 1. **不要直接暴露Prometheus到公网**，始终通过反向代理访问。 2. **定期更新密码文件**： ```bash sudo htpasswd /etc/nginx/.htpasswd new_user # 添加新用户 sudo htpasswd -D /etc/nginx/.htpasswd old_user # 删除旧用户 ``` 3. **监控Nginx日志**： ```bash tail -f /var/log/nginx/access.log | grep 401 # 追踪认证失败记录 ``` --- ### 总结 Prometheus本身不支持配置文件级的基础认证，需依赖反向代理实现访问控制。推荐使用Nginx基础认证或OAuth2 Proxy，并结合防火墙/IP白名单，实现多层防护。