普羅米修斯是一個復(fù)雜的系統(tǒng)拥知,它有許多的組件并且集成了許多其它的系統(tǒng)惩琉。它可以被部署到各種被信任和不被信任的環(huán)境中哮独。
這篇文章描述了一些關(guān)于普羅米修斯的常見的安全假設(shè)和攻擊維度,一些配置可能啟用的洼滚。
像任何復(fù)雜的系統(tǒng)一樣埂息,普羅米修斯也不可能保證沒有Bug。如果你發(fā)現(xiàn)了一個安全bug,請在相關(guān)的組件里提issue遥巴。
普羅米修斯
通常不被信任的用戶有權(quán)限去訪問普羅米修斯HTTP節(jié)點和日志千康。他們可以訪問普羅米修斯數(shù)據(jù)庫中的所有時序信息,加上各種操作或者調(diào)試信息铲掐。
另外只有被信任的用戶可以改變普羅米修斯或者其它組件的命令行吧秕,配置文件,規(guī)則文件和其它方面的運行時環(huán)境迹炼。
普羅米修斯抓取哪些目標砸彬,多久抓取目標,以及其它的設(shè)置是完全通過普羅米修斯配置文件設(shè)置的斯入。管理員可能決定去使用服務(wù)發(fā)現(xiàn)系統(tǒng)的信息砂碉,結(jié)合relabel,可能授權(quán)其中的一些控制給任何可以更改服務(wù)發(fā)現(xiàn)系統(tǒng)中的數(shù)據(jù)的用戶刻两。
被抓取的目標可能是不信任的用戶運行的增蹭。對于一個目標來說應(yīng)該是默認不可能的去暴露數(shù)據(jù)(模仿一個不同的目標)。honor_labels選項移除了這個包磅摹,relabelling設(shè)置滋迈。
在Prometheus2.0, --web.enable-admin-api 配置控制管理HTTP API的訪問權(quán)限户誓,包括刪除時間序列數(shù)據(jù)的功能饼灿。這些默認是被禁用的。如果被啟用了帝美,管理和編譯的功能將被訪問在 /api/*/admin/ 路徑碍彭。--web.enable-lifecycle配置通過HTTP控制普羅米修斯的重啟和關(guān)閉。這個也是默認未啟用的悼潭。如果被啟用了庇忌,它們可以通過/-/reload?和?/-/quit路徑訪問。
在Prometheus1.x版本中舰褪,/-/reload和/api/v1/series的DELETE HTTP API是可以被任何人訪問的皆疹。 /-/quit 節(jié)點是默認被關(guān)閉的,但是可以通過-web.enable-remote-shutdown標識開啟此功能占拍。
遠程讀功能允許任何人通過HTTP請求向遠程讀節(jié)點發(fā)送查詢請求略就。例如PromQL查詢可以最終直接運行通過一個關(guān)系型數(shù)據(jù)庫软族,那么任何人可以發(fā)送查詢語句給Prometheus(例如通過Grafana)都可以直接運行SQL在那個數(shù)據(jù)庫上。
AlterManager
任何可以訪問Altermanager HTTP節(jié)點的用戶都可以訪問它的數(shù)據(jù)残制。它們可以創(chuàng)建和解決報警。他們可以創(chuàng)建掖疮,修改和刪除silence初茶。
報警通知發(fā)到哪兒是通過配置文件決定的。在某種模板設(shè)置下浊闪,它是可能的對通知來說最終結(jié)束在一個報警定義的目的地恼布。例如,如果通知使用了一個報警 label 作為一個目標郵箱地址搁宾,任何人它可以發(fā)送報警給Alertmanager的都可以發(fā)送通知給任何郵箱地址折汞。如果報警定義的目的地是一個模板秘密字段,任何人有權(quán)限訪問普羅米修斯或者Altermanager豆?jié){有能力去看這個secrets盖腿。
在上面的用例中爽待,任何模板化的secret字段的目的都是為了路由通知。它們的目的不是作為一個方式翩腐,利用模板文件特征鸟款,去將secrets從模板文件中分離。例如在大型的配置中茂卦,每一個團隊都可能有一個alermanager配置文件片段他們可以完全控制的何什,這些片段最紅被結(jié)合成一個完整的最終的文件。
Pushgateway
任何可以訪問Pushgateway HTTP節(jié)點的用戶等龙,都可以創(chuàng)建处渣,修改和刪除包含在其中的metrics。因為Pushgateway通常被抓取with honor_lables 啟用蛛砰,這個意味著任何有權(quán)限訪問Pushgateway的用戶都可以在普羅米修斯中創(chuàng)建任何時序數(shù)據(jù)罐栈。
Exporters
Exporters通常僅僅和一個配置好的實力通信,該實例通常提前設(shè)置好了命令和請求泥畅,并且不能通過它們的HTTP節(jié)點擴展悠瞬。
這兒也有一些exporters例如SNMP和Blackbox exporters它們從URL變量中獲取目標。因此任何人有權(quán)限通過HTTP請求訪問這些exporters的用戶涯捻,都可以讓它們發(fā)送請求給任意的節(jié)點浅妆。因為他們通常也支持客戶端認證,這些可以導(dǎo)致一個secret泄露障癌,例如HTTP Basic認證密碼或者SNMP社區(qū)字符串凌外。更有挑戰(zhàn)的回復(fù)授權(quán)機制例如TLS不會被這個影響。
Client libraries
client libraries的目的是包含在用戶的應(yīng)用程序中涛浙。如果使用一個client-library提供的HTTP節(jié)點康辑,它不應(yīng)該對于惡意的請求哪些訪問這些handler去引起問題摄欲,除非額外的加載和失敗的抓取。
認證疮薇、授權(quán)胸墙、加密
普羅米修斯和它的組件不提供任何服務(wù)端的認證,授權(quán)或者加密按咒。如果你想要這些迟隅,那么推薦你使用一個反向代理。
各種各樣的普羅米修斯的組件支持客戶端的認證和加密励七。如果TLS客戶端支持被提供了智袭,這兒也時常有一個選項叫做 insecure_skip_verify 命令跳過SSL認證。
秘鑰
沒有秘鑰的信息或者字段通過HTTP API或者日志是可以得到的掠抬。
在普羅米修斯吼野,元素通過服務(wù)發(fā)現(xiàn)系統(tǒng)取到的不被認為是秘密的。通過普羅米修斯系統(tǒng)两波,metrics不被認為是秘密的瞳步。
fields包含秘鑰在配置文件中的(清晰的標記在文檔中)將不會被暴露在日志中或者通過HTTP API暴露出去。Secrets不應(yīng)該被放在其它的配置項中腰奋,因為是常見的組件暴露它們的配置通過HTTP節(jié)點谚攒。
其它來源的秘鑰被依賴使用(例如 AWS_SECRET_KEY環(huán)境變量被EC2服務(wù)發(fā)現(xiàn)使用)可能最終被暴露由于代碼在我們的控制之外或者由于哪些功能在它們存儲的地方暴露了秘鑰。
拒絕服務(wù)
這兒有一些替換關(guān)于過度負載或者昂貴的查詢氛堕。然而馏臭,如果太多或者太貴的查詢/metrics被提供,那組件就有可能失敗讼稚。它是更可能的一個組件被無意的被信任的用戶的惡意舉動攻擊括儒。
那是用戶的職責確保他們提供的組件擁有充足的資源包括CPU,RAM,磁盤空間,IOPS,文件描述符和帶寬锐想。
推薦監(jiān)控所有組件的失敗帮寻,并且給他們設(shè)置失敗自動重啟。
Libraries
這個文檔考慮的二進制是通過標準的二進制代碼編譯的赠摇。這里展示的信息不應(yīng)用在如果你修改了Prometheus的源代碼固逗,或者使用普羅米修斯內(nèi)部功能(超出了官方提供的客戶端API)在你自己的代碼里。
編譯過程
普羅米修斯的編譯過程都是運行在第三方提供者藕帜,有許多的普羅米修斯開發(fā)團隊和開發(fā)者有權(quán)限做這些烫罩。如果你關(guān)注你的二進制版本的確切起源,那么推薦你自己編譯它而不是依賴這些工程的預(yù)編譯版本洽故。
翻譯官方文檔
https://prometheus.io/docs/operating/security/
PS:由于缺乏實踐贝攒,這里有很多內(nèi)容都沒有理解,需要實踐支撐时甚,回過頭再來研究隘弊。
