(四)解决cAdvisor 容器监控面板未授权访问

最新推荐文章于 2024-07-17 20:21:22 发布
最新推荐文章于 2024-07-17 20:21:22 发布
阅读量5.8k 收藏 2
点赞数 2
分类专栏: 监控 文章标签: docker nginx 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48226988/article/details/112008851
版权

cadvisor是一个谷歌开发的容器监控工具,它被内嵌到k8s中作为k8s的监控组件。默认情况下没有授权验证措施。攻击者可以直接未授权访问cAdvisor容器监控面板,获取相应Docker敏感信息。

开启cAdvisor的认证跟开启Prometheus的认证方法是一样的,都是通过nginx的auth_basic功能代理cAdvisor实现认证的。

所以:
第一步,部署nginx
第二步,安装httpd-tools工具
第三步,修改nginx.conf
第四步,修改prometheus.yml
第五步,重启服务

第一步,部署nginx,去nginx官网下载个nginx的安装包,操作步骤如下:

~:useradd -M -s /sbin/nologin nginx
~:yum -y install pcre-devel zlib-devel openssl
~:tar -zxvf nginx-1.17.7.tar.gz 
~:cd nginx-1.17.7
~:./configure --prefix=/usr/local/nginx --group=nginx --with-http_stub_status_module && make && make install

第二步,安装httpd-tools工具

~:yum -y install httpd-tools
~:cd /usr/local/nginx/
~:htpasswd -c .ht.passwd cAdvisor

第三步,修改nginx.conf

~:vim nginx.conf

    server {
        listen 16060;
    
        location / {
    
            auth_basic "cAdvisor";
            auth_basic_user_file ".ht.passwd";
            
            proxy_pass  http://localhost:6060/;
   
           }
    }
~:../sbin/nginx -s reload

第四步,修改prometheus.yml

~:vim prometheus.yml
  - job_name: 'docker'
    static_configs:
    - targets:
      - '***.***.***.***:16060'
    basic_auth:
      username: cAdvisor
      password: ************

~:systemctl restart prometheus

第五步,重启服务

OK了,简单明了,哈哈,记得把6060端口给关掉。

LQ的小蜜
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
kubelet漏洞利用
littlecjx
10-22 3196
一、简介 kubernetes 是一个分布式的集群管理系统,在每个节点(node)上都要运行一个kubelet对容器进行生命周期的管理。 kubelet开放的端口有: 端口 作用 描述 4194 cAdvisor 监听 kublet 通过该端口可以获取到该节点的环境信息以及 node 上运行的容器状态等内容,访问 http://localhost:4194 可以看到 cAdviso...
记一次网关项目Actuator授权访问漏洞的修复方案
DearLC的博客
07-13 7055
springboot actuator授权访问漏洞修复方案
漏洞防范与应对:从发现到修复的全攻略】Prometheus Pushgateway推送网关 存在授权访问漏洞 ,处理过程详解!!!
大唐有趣的小胡.
05-11 1939
本文详细介绍了Prometheus Pushgateway推送网关存在的授权访问漏洞及其处理过程。该漏洞允许授权的用户访问Pushgateway,可能导致敏感信息泄露或系统被恶意利用。文章首先分析了漏洞产生的原因,然后给出了具体的处理步骤,包括限制访问权限、更新配置文件、重启服务等。同时,强调了及时修复漏洞的重要性,并提供了防范类似漏洞的建议。通过本文的指南,读者可以了解如何发现并应对Prometheus Pushgateway推送网关的授权访问漏洞,确保系统的安全性和稳定性。
容器资源使用监控-Cadvisor
ty-boy的博客
04-03 739
前言 由于需要测试,没有使用物理机,需要消耗的资源太大,怕物理机器没办法承受,导致影响其他的业务。所以使用容器来进行测试,在测试过程中发现容器的内存消耗过大,使得机器多次内存溢出,但是有无法及时的确定原因,所以采用了内存限制,但是也需要一个方案来检测情况。 docker stats VS cadvisor dokcer stats 可以查看运行的 Docker 镜像的运行状态,例如: 这种方式比较...
浅谈“授权访问漏洞
→_→
07-26 1万+
一:漏洞名称: 授权访问漏洞 描述: 授权访问漏洞,是在攻击者没有获取到登录权限或授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。 检测条件: 已知Web网站具有登录页面。或者具有不允许访问的目录或功能。 不用登录,可通过链接直接访问用户页面功能。 检测方法: 通过对登录后的页面进行抓包,将抓取到的功能链接,在其他浏览器进行打开, 也可以通过web扫描工具进行扫描,爬虫得到相关地址链接,进.
centos7上面 docker 启动 cAdvisor 报错问题解决
liangkaiping0525的博客
06-19 1678
启动命令: docker run --volume=/:/rootfs:ro --volume=/var/run:/var/run:rw --volume=/sys:/sys:ro --volume=/apps/docker/:/var/lib/docker:ro --volume=/dev/disk/:/dev/disk:ro --publish=9101:8080 --detach=true --name=cadvisor google/cadvisor:late
数千个不安全的 Kubernetes 集群暴露在互联网上
u012516914的专栏
05-05 216
最近在研究确定互联网上暴露的 Kubernetes 集群的安全态势,在研究过程中发现了超过 500,000 个不安全的 Kubernetes 实例。介绍近些年,容器和微服务已成为应用程序开发趋势。管理此类基础设施是生产环境中的一项巨大挑战。Kubernetes(或 k8s)除了是一个描述“指挥官”的希腊词外,还是一个非常流行的容器编排平台。模块化设计使其具有出色的灵活性和可扩展性,几乎所有组件都可...
ansible-role-cadvisor:cAdvisor容器监控
05-23
cAdvisor容器监视。 cAdvisor可以在运行,但是在RHEL / CentOS上,它需要。 一种替代方法是使用该角色直接在主机系统上运行它。 变数 可选的: cadvisor_port :在此端口上侦听,默认为9280 cadvisor_version :...
Docker 容器监控原理及 cAdvisor的安装与使用说明
01-08
生产环境中监控容器的运行状况十分重要,通过监控我们可以随时掌握容器的运行状态,做到线上隐患和问题早发现,早解决。 所以今天我就和你分享关于容器监控的知识(原理及工具 cAdvisor)。 虽然传统的物理机和...
cadvisor.tar 容器镜像,可以监控容器
06-08
cadvisor.tar 容器镜像,可以监控容器
详解Docker容器可视化监控中心搭建
01-20
如何搭建一个可视化的监控中心 来收集这些承载着具体应用的容器的时序信息并可视化分析与展示! 动手了,动手了… 准备镜像 adviser:负责收集容器的随时间变化的数据 influxdb:负责存储时序数据 grafana:负责...
常见授权访问漏洞
最新发布
weixin_60838266的博客
07-17 752
由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可以执行任意方法,从而导致远程命令执行漏洞。受影响的版本包括 5.0 和 5.1 版本(即默认情况下)。
容器管理和容器监控-cAdvisor
NULL
12-27 460
什么是cAdvisor? Google开源的用于监控基础设施应用的工具,它是一个强大的监控工具,不需要任何配置就可以通过运行在Docker 主机上的容器监控Docker 容器,而且可以监控Docker 主机。 更多详细操作和配置选项可以查看Github 上的cAdvisor项目文档。https://github.com/google/cadvisor 1),docker...
cAdvisor的使用
weixin_37689012的博客
05-04 990
cAdvisor的使用简介安装 简介 ‘谷歌开源的用于监控基础设施的工具,它是一个非常强大的工具,不需要任何配置就可以通过运行在Docker 主机上的容器监控Docker容器,而且可以监控docker 主机。 安装 1.下载镜像 docker pull google/cadvisor 2.创建容器 docker run \ --volume=/:/rootfs:ro \ --volum...
容器监控cadvisor介绍
lixinkuan的博客
08-05 1万+
docker stats 对 cadvisor dokcer stats 可以查看运行的 Docker 镜像的运行状态,例如:这种方式比较原始,因为你无法通过 http 的方式来获取数据,而且没有界面,数据可视化还需要做大量的工作。 由于 dokcer stats 有这些问题,所以 cadvisor 诞生了。 cadvisor 不仅可以搜集一台机器上所有运行的容器信息还提供基础查询界面和 http 接口,方便 Prometheus 进行数据抓取。 正是因为 cadvisor 与 Prometheus
cAdvisor,prometheus
weixin_39639119的博客
11-11 3181
cAdvisor 开源软件cadvisor 是用于监控容器运行状态的利器之一,它被用于多个与docker相关的开源项目中。 在kubernetes 系统中,cAdvisor已经默认集成到了kubelet组件内,当kubelet服务启动时,它会自动启动cAdvisor服务,然后cAdvisor会实时采集所在节点的性能指标及在 节点上运行的容器的性能指标。kubelet 的启动参数 --cadv...
prometheus监控k8s集群系列之cadvisor篇
热门推荐
XUEJIA2S的博客
09-26 1万+
通过cadvisor结合prometheus监控k8s集群容器基础设施(container) 简介 cAdvisor可以对Node机器上的资源及容器进行实时监控和性能数据采集,包括CPU、内存使用情况、网络吞吐量及文件系统使用情况,1.7.3版本以前,cadvisor的metrics数据集成在kubelet的metrics中,在1.7.3以后版本中cadvisor的metrics被从kubelet的metrics独立出来了,每个Node机器上都会有一个aAdvisor对这台机器进行监控。 操作 从简介中我们
Cadvisor 数据收集
weixin_34179968的博客
11-16 942
Cadviosr是Google用来监测单节点的资源信息的监控工具。虽然Docker提供了一些CLI的命令行的功能,但是在一个看图的时代,基本的功能是很难满足人民群众日益增长的物质文化需求,Cadvisor提供了一目了然的单节点多容器的资源监控功能。Google的Kubernetes中也缺省地将其作为单节点的资源监控工具,各个节点缺省会被安装上Cadvisor。在免费的世界里,...
cadvisor监控的指标
09-16
cAdvisor是一个开源的容器资源监控工具,主要用于监控和收集容器的运行时数据。cAdvisor可以提供各种指标用于监控容器资源使用情况和性能表现。 cAdvisor监控的主要指标包括以下几个方面: 1. CPU使用率:cAdvisor可以监控容器的CPU使用率,包括总的使用率和每个核心的使用率。这可以帮助用户了解容器的CPU压力和负载情况,确定是否存在CPU瓶颈问题。 2. 内存使用量:cAdvisor可以监控容器的内存使用量,包括总的使用量、已使用的百分比、空闲的百分比等。这对于评估容器的内存需求、检测内存泄漏等问题非常有帮助。 3. 网络使用量:cAdvisor可以监控容器的网络流量,包括接收和发送的数据包数量、字节数量等。这可以帮助用户了解容器的网络负载情况,检测是否存在网络拥塞等问题。 4. 存储使用量:cAdvisor可以监控容器的存储使用量,包括存储卷的大小、已使用的空间、剩余的空间等。这可以帮助用户了解容器的存储需求,及时进行存储扩容等操作。 5. 容器的运行状态:cAdvisor可以监控容器的运行状态,包括容器的启动时间、运行时间、运行状态等。这对于了解容器的运行情况、排查容器启动失败等问题非常有帮助。 总之,cAdvisor监控的指标可以帮助用户全面了解容器的各项资源使用情况和性能表现,帮助用户优化容器的运行和资源分配策略,提升容器的性能和稳定性。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值