Spring Boot Actuator通过Nginx配置限制外部访问

已于 2023-09-01 16:39:45 修改
阅读量2.4k 收藏 9
点赞数 1
文章标签: spring boot java 后端
于 2023-09-01 13:18:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lukialee/article/details/132621111
版权

Spring Boot提供的Actuator,方便开发监控和管理应用程序,但也会暴露一些敏感信息,引发安全问题。

所以很多人在运行Spring Boot项目时,会关掉Actuator的端点,方法很简单,这样配置:

management:
  endpoints:
    web:
      exposure:
        include: health,beans
        exclude: info

其中include是指要包含进来的端点,可以写多个,用逗号隔开。exclude是指要排除掉的不能包含进来的端点。此时,通过http://ip:port/actuator/health返回的数据,能看到服务器是否在运行。

如果想包含所有,就给include配置*

management:
  endpoints:
    web:
      exposure:
        include: *

但要注意,端点返回的数据可能暴露服务器的敏感信息,这些只能从内部网络访问,建议对外屏蔽。如果想屏蔽所有,就为exluce配置*,但自己想使用时也不方便。

management:
  endpoints:
    web:
      exposure:
        exclude: *

k8s在做健康检查时,经常通过http get的方式调用pod中的服务接口,判断服务是否正常。

    livenessProbe:
      httpGet:
        path: /actuator/health
        port: 80
        scheme: HTTP

你可以修改路径,让别人猜不到,但这样始终还是不安全。

如果对外暴露的服务是通过Nginx做反向代理的,可以在Nginx配置文件中加上对路径/actuator/的访问限制,如:


    location / {
        proxy_set_header            Host $host;
        proxy_set_header            X-real-ip $remote_addr;
        proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_connect_timeout 500s;
        proxy_read_timeout 500s;
        proxy_send_timeout 500s;

        # 只要路径中有/actuator,就不允许外部请求
        location ~ .*\/actuator.* {
          #deny all; # 这样配置返回403
          return 404; # 这样配置返回404
        }
        proxy_pass http://172.15.33.12:30001/;
    }

Lukia Lee
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
运维之道 | Nginx配置访问控制
VillianTsang 、运维之道
02-22 641
一、基于IP的访问控制 1、只允许单个IP,其它全部拒绝 location /status { stub_status on; access_log off; allow 127.0.0.1/32; deny all; } 2、只允许单个网段,其它全部拒绝 location /status { stub_status on; access_l...
基于spring boot拍卖行系统的设计与实现lw+ppt.rar
12-21
- 监控与日志:引入Spring Boot Actuator进行健康检查和性能监控,同时配置日志系统记录系统运行情况。 5. **文档与PPT内容** - `基于spring boot拍卖行系统的设计与实现.docx`:详细介绍了系统设计的背景、目标...
spring boot actuator 禁用后,/actuator仍可正常访问
baidu_34519249的博客
09-26 4799
项目上线后,被测试出actuator没有关闭,关闭后,仍可正常访问/actuator端点,只是类似/actuator/env这样的无法访问,现在就想把/actuator端点也给禁用了。
nginx location配置详细解释
ysh_chen的博客
12-21 238
nginx location配置详细解释 语法规则: location [=||*|^~] /uri/ { … } = 开头表示精确匹配 ^~ 开头表示uri以某个常规字符串开头,理解为匹配 url路径即可。nginx不对url做编码,因此请求为/static/20%/aa,可以被规则^~ /static/ /aa匹配到(注意是空格)。 开头表示区分大小写的正则匹配 ~* 开头表示不区分大小写...
Spring actuator漏洞防御措施
Hack_ing的博客
05-07 475
Spring Actuator漏洞防御措施
Nginx配置微服务避免actuator暴露
zy08403的专栏
10-18 1308
微服务一般在扫漏洞的情况下,需要屏蔽actuator健康检查。# 避免actuator暴露。
Nginx配置禁止远程访问swagger、xrebel、druid、actuator
Huathy的博客
09-15 7672
Nginx配置禁止远程访问swagger
actuator防止外部访问漏洞修复
三侠剑的博客
03-07 5365
解决办法适用于2.x springboot版本 法零:和网站设置不同端口,不映射到外面,并修改路径 法一:禁用所有http接口,将配置改成:management.endpoints.web.exposure.exclude=* 法二:引入spring-boot-starter-security依赖,增加安全认证 <dependency> <groupId>org.springframework.boot</groupId> <artifactId&...
Springboot中禁止访问IP:prot/actuator内容
weixin_46574002的博客
01-22 551
可以看下是否有这个包。
基于Spring Boot的在线考试系统-论文-2024
最新发布
06-09
2. **核心特性**:Spring Boot的核心特性包括自动配置、内嵌式Web服务器(如Tomcat)、健康检查、Actuator监控、YAML/Properties配置支持等。 3. **Spring Boot优势**:Spring Boot简化了依赖管理,降低了项目复杂...
spring-boot-examples-master.zip
05-08
spring-boot-actuator spring-boot-banner spring-boot-docker spring-boot-elasticsearch spring-boot-jpa spring-boot-mail spring-boot-mongodb spring-boot-mybatis spring-boot-rabbitmq spring-boot-...
详解Nginx限流配置
09-29
本文以示例的形式,由浅入深讲解Nginx限流相关配置,是对简略的官方文档的积极补充,感兴趣的朋友跟随小编一起看看吧
微服务架构面试题系列:Dubbo+Spring Boot+Spring Cloud.zip
07-04
面试时可能会涉及Spring Boot的自动配置、起步依赖、Actuator监控以及如何与外部配置中心集成等内容。 再者,Spring Cloud是一套微服务解决方案,它为开发人员提供了用于构建分布式系统(如配置管理、服务发现、...
spring-boot-sources09-https-http.zip
09-04
- Spring BootActuator模块提供了健康检查、审计、指标等端点,这些端点也可以配置为HTTPS访问,增强安全性。 8. **测试与调试** - 使用`curl`命令或者Postman等工具进行HTTP/HTTPS的接口测试。 - Spring Boot...
基于Springboot 限制IP访问指定的网址
NLD_GOD的博客
09-18 1896
*** 允许访问的最大次数*//*** 时间段,单位为毫秒,默认值一分钟
actuator的管理端点进行ip白名单限制springBoot添加filter)
weixin_34060299的博客
08-09 1431
在我们的SpringCloud应用中,我们会引入actuator来进行管理和监控我们的应用 常见的有:http://www.cnblogs.com/yangzhilong/p/8378152.html 如果开启  endpoints.restart.enabled=true 则会有pause、restart等端点。 对shutdown、pause、restart等敏感指令我们需要进行一定的保护...
Spring Boot Actuator未授权访问排查和整改指南
热门推荐
weixin_44106034的博客
10-19 2万+
1、信息泄露:未授权的访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对未授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
修复SpringBoot Actuator未授权访问遇到的问题
玛卡巴卡的博客
03-30 4267
访问http://xxx.xx.x/actuator 会直接获取到系统监控信息,存在安全问题。
springboot无法访问actuator下的部分敏感端点的解决方式
tinysakura的博客
09-07 808
错误信息: Tue Mar 07 21:18:57 GMT+08:00 2017 There was an unexpected error (type=Unauthorized, status=401). Full authentication is required to access this resource. 解决: application.properties添加配...
Spring Boot Actuator未授权访问漏洞
05-24
Spring Boot ActuatorSpring Boot提供的一组用于监控和管理应用程序的端点。这些端点包括/health、/info、/metrics等,通过HTTP请求可以获取应用程序的相关信息。 未授权访问漏洞是指攻击者可以通过发送特定的请求,获取到未经授权的应用程序信息。在Spring Boot Actuator中,如果未对端点进行正确的安全配置,攻击者可以通过发送GET请求,获取到应用程序的敏感信息,如应用程序版本、运行状态、数据库连接信息等。 为了避免Spring Boot Actuator未授权访问漏洞的发生,可以采取以下措施: 1. 禁用不必要的Actuator端点:可以通过配置文件或注解的方式禁用不必要的Actuator端点,避免敏感信息的泄露。 2. 对Actuator端点进行安全配置:可以通过配置文件或代码的方式对Actuator端点进行安全配置,只允许授权用户进行访问。 3. 更新Spring Boot版本:Spring Boot官方已经修复了Actuator未授权访问漏洞,升级到最新版本可以避免此漏洞的发生。 总之,Spring Boot Actuator未授权访问漏洞需要引起开发人员的重视,应该及时采取相应的安全措施,避免应用程序的敏感信息被泄露。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值