consul ui访问安全加固

于 2024-04-24 19:38:07 发布
阅读量739 收藏 7
点赞数 11
文章标签: consul
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangfengzhen115/article/details/138167838
版权

本文侧重介绍访问ui安全加固部分。 安装配置以及集群搭建请参考官方文档

下载安装

官方下载地址&安装教程 Install | Consul | HashiCorp Developer

修改配置,开启acl

首先自行规划好 server和client机器。 按照下述流程在server 生成 bootstrap token。

修改acl 配置如下。default_policy=allow

"acl":{
    "enabled":true,
    "down_policy":"extend-cache",
    "default_policy":"allow",
    "enable_token_persistence" : true,
    "tokens":{
      "default":""
   }

启动 server

# 停止服务 ctl+c 即可。方便调试
consul agent -server -config-dir /opt/consul/conf

生成 global-management

# 另开控制台执行
consul acl bootstrap

获取 SecretID(your_SecretID)

在所有客户端以及当前客户端中 配置 acl

需要更细粒度控制权限,可以后续创建自定义token,替换 default

"acl":{
    "enabled":true,
    "down_policy":"extend-cache",
    "default_policy":"deny",
    "enable_token_persistence" : true,
    "tokens":{
      "default":"your_SecretID"
   }

重启 所有server

 # demo
 consul agent -server -config-dir /opt/consul/conf > /dev/null 2>&1  &

启动 所有client

  # demo
 consul agent -config-dir /opt/consul/conf > /dev/null 2>&1  &

server 和 client 配置区别

client 不要配置 下述参数

{
   "server":true,
   "bootstrap_expect": 1
}

nginx 安全加固

# 创建用户名为 consul_account 的账号
 htpasswd -c /etc/nginx/consulPwd consul_account # 执行后会要求你输入密码,完了就完成了账号密码的生成
 ```

 ```conf
   server {
       listen 80;
       server_name localhost;
       location / {
           proxy_pass http://127.0.0.1:8500;
           proxy_read_timeout 300;
           proxy_connect_timeout 300;
           proxy_redirect off;
           auth_basic "Restricted";
           auth_basic_user_file /etc/nginx/consulPwd;
       }
   }

Anonymous Token 设置只读权限

为了限制 未登录访问 consul ui 的权限,覆盖游客模式使用的 Anonymous Token 的 Policies 即可。

创建 Policies : _Anonymous 形如

session_prefix "" {
    policy = "write"
}

编辑 token: Anonymous Token 修改其 Policies 为 _Anonymous

访问验证

参考

consul安全加固-腾讯云开发者社区-腾讯云

欢迎关注公众号

mylomen
关注
  • 11
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
consul-unauthorized:consul授权访问
04-24
consul可以进入后台,威胁敏感信息,对网络设备进行操作
consul web ui
05-05
在这个讨论中,我们将深入探讨 Consul 在 Windows 和 Linux 上的安装与使用,特别是其Web UI 功能。 **服务发现** 在微服务架构中,服务发现是关键。Consul 提供了两种方式来实现服务注册和发现:自动注册和手动...
Consul ACL访问权限控制
fomeiherz的专栏
12-23 6386
提前准备 版本:V1.6.2 下载:https://www.consul.io/downloads.html 配置文件:config-acl.json { "datacenter":"tencent-datacenter", "data_dir":"/usr/local/consul-1.6.2/data", "log_file":"/usr/local/consul-1....
Consul Manager解决consul ui权限问题
zhaoyahui_666的博客
05-28 1984
源码地址 consul ui没有访问权限,所有人都可以修改key/value,不安全。所以,发现了Consul Manager这个开源的dashboard可以通过权限管理,还可以为不同的角色设置的不同的权限。
Consul中文文档—Consul安全模型概览
shuai_wy的专栏
10-27 1004
Consul安全模型概览。
Hashicorp Consul Service API远程命令执行漏洞
网络安全。
01-18 2879
2018年11月27日,Consul在官方博客中发布了有关Consul工具可能存在远程命令执行(RCE)漏洞的公告,并提供了防护该漏洞的配置方案。Consul是HashiCorp公司推出的一款开源工具,旨在实现分布式系统的服务发现与配置。相较于其他分布式服务注册与发现的解决方案,Consul提供更为全面的功能。它内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,无需依赖其他工具(如ZooKeeper等),使用也相对简单。
consul ui无法访问的问题解决
HQ DevJ的专栏
11-10 7467
在云服务器上启动了consul,但是访问不了8500端口,这里需要在服务器启动的时候,加上-client的指定 ./consul agent -dev这是最开始启动的命令只能本机访问 当使用下面命令的时候就可以其他机器进行访问了: ./consul agent -dev -client 0.0.0.0 -ui 外部机器就可以访问 ...
Consul
weixin_43572928的博客
09-13 1031
Consul:服务的注册和配置中心 第一步:下载consul 官网:https://www.consul.io/downloads 这里选择windows版 第二步:解压后输入cmd 第三步:consul --version 如果出现如图信息,说明consul可以正常使用 第四步:启动consul 命令:consul agent -dev 第五步:登录consul服务器端(8500) localhost:8500 ...
consul UI用127可以访问,指定ip无法访问
热门推荐
三月神的专栏
12-22 1万+
./consul agent -dev  -client 0.0.0.0 -ui 需要加上红色这段才能指定ip访问
Consul Windows免安装版
04-02
- Consul支持基于TLS的加密通信和ACL(访问控制列表)系统,确保数据传输安全和资源访问权限控制。 8. **监控与日志** - Consul提供丰富的监控指标,可通过Prometheus、Graphite等集成进行可视化展示。 - 默认...
consul 中文开发指南
09-30
使用 GOSSIP 协议管理成员和广播消息, 并且支持 ACL 访问控制. Consul 的使用场景 docker 实例的注册与配置共享 coreos 实例的注册与配置共享 vitess 集群 SaaS 应用的配置共享 与 confd 服务集成,动态生成 nginx...
consul-1.11.4
03-08
新版本可能修复了一些已知的安全漏洞,增强了认证和授权机制,以防止未授权访问和攻击。 3. **服务网格改进**:服务网格是 Consul 的核心特性之一,允许跨服务的流量管理和策略实施。1.11.4 版本可能提供了更好的...
consul安全加固
weixin_33834628的博客
05-09 926
2019独角兽企业重金招聘Python工程师标准>>> ...
记一次对HTB靶场的渗透测试
MNK_xwf的博客
01-07 404
攻击地址:10.10.14.30 靶机地址:10.10.11.183 信息搜集阶段 利用nmap对靶机地址进行全端口扫描: 能看到目标地址开放了22,80,3000,3306端口,至于udp端口我也懒得扫,这种靶场没几个开放了的 用浏览器分别访问22,80,3000,3306端口结果只有3000端口开放,一看,是grafana系统 不过这个没怎么接触过,用searchsploit搜了一下 发现了一个任意文件读取漏洞刚好有对应的脚本我们直接下载 利用命令: python3 5058
常见未授权访问漏洞修复
qq_41945550的博客
06-02 4605
MongoDB是一个基于分布式文件存储的数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB默认端口为27017。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。
漏洞分析】Confluence 数据中心和服务器中的严重漏洞 CVE-2023-22515
最新发布
网络安全知识分享
03-21 1281
Confluence 的开发者 Atlassian 已公告此漏洞,并将其归类为损坏的访问控制问题。他们强调需要立即采取行动,并建议用户升级到最新版本以保护他们的系统。Atlassian 将该漏洞的严重级别评定为 Critical CVSS 10。
Consul与外部服务
勇往直前的专栏
10-15 3057
HashiCorp Consul是一个服务网格,用于服务发现、运行时配置和微服务应用程序和基础设施的服务分割。Consul允许注册和发现“内部”服务到您的基础设施,以及“外部”服务,例如第三方SaaS提供的服务,以及其他不可能直接运行Consul代理的环境。 这篇博文解释了如何与Consul的外部服务合作,以及如何使用Consul ESM(外部服务监视器)来对这些服务进行健康检查。我们将介绍: ...
prometheus之自动发现自动注册(consul
qq_25934401的博客
10-21 928
接口文档地址:https://developer.hashicorp.com/consul/api-docs/agent/service#register-service。json数据模版 payload.json。注册服务(PUT接口)
consul控制ui界面访问鉴权
07-28
对于Consul控制UI界面的访问鉴权,你可以通过以下步骤进行设置: 1. 配置Consul服务端的ACL(Access Control List):使用Consul的ACL功能来定义用户、角色和权限。你可以创建一个包含有限访问权限的角色,并将用户分配到这些角色中。 2. 为UI界面创建一个独立的ACL令牌:生成一个ACL令牌,该令牌具有访问UI界面所需的权限。确保该令牌只限于UI界面的访问,并且不授予其他敏感操作的权限。 3. 配置Consul UI界面的访问控制:编辑Consul的配置文件,指定仅允许使用特定ACL令牌的用户访问UI界面。这可以通过设置`ui_acl_token`参数来实现。 4. 重新启动Consul服务:保存配置文件更改后,重新启动Consul服务以使其生效。 通过这些步骤,你可以实现对Consul UI界面的访问鉴权,只允许具有相应ACL令牌的用户进行访问。这样可以提高系统的安全性和可控性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值