cadvisor是一個谷歌開發的容器監控工具,它被內嵌到k8s中作為k8s的監控組件,默認情況下沒有授權驗證措施,攻擊者可以直接未授權訪問cAdvisor容器監控面板,獲取相應Docker敏感資訊,
開啟cAdvisor的認證跟開啟Prometheus的認證方法是一樣的,都是通過nginx的auth_basic功能代理cAdvisor實作認證的,
所以:
第一步,部署nginx
第二步,安裝httpd-tools工具
第三步,修改nginx.conf
第四步,修改prometheus.yml
第五步,重啟服務
第一步,部署nginx,去nginx官網下載個nginx的安裝包,操作步驟如下:
~:useradd -M -s /sbin/nologin nginx
~:yum -y install pcre-devel zlib-devel openssl
~:tar -zxvf nginx-1.17.7.tar.gz
~:cd nginx-1.17.7
~:./configure --prefix=/usr/local/nginx --group=nginx --with-http_stub_status_module && make && make install
第二步,安裝httpd-tools工具
~:yum -y install httpd-tools
~:cd /usr/local/nginx/
~:htpasswd -c .ht.passwd cAdvisor
第三步,修改nginx.conf
~:vim nginx.conf
server {
listen 16060;
location / {
auth_basic "cAdvisor";
auth_basic_user_file ".ht.passwd";
proxy_pass http://localhost:6060/;
}
}
~:../sbin/nginx -s reload
第四步,修改prometheus.yml
~:vim prometheus.yml
- job_name: 'docker'
static_configs:
- targets:
- '***.***.***.***:16060'
basic_auth:
username: cAdvisor
password: ************
~:systemctl restart prometheus
第五步,重啟服務
OK了,簡單明了,哈哈,記得把6060埠給關掉,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/243264.html
標籤:其他
上一篇:xss練習筆記