Prometheus metrics未授权访问漏洞指的是任何人(包括未授权用户)都能够直接访问Prometheus收集的监控指标数据,而无需进行身份验证或授权。这种漏洞可能导致敏感信息的泄露,对系统安全构成威胁。 2. 该漏洞可能带来的安全风险 信息泄露:攻击者可以通过访问Prometheus metrics获取到系统的监控数据,包括系统性能、运行状态等敏感...
既然是未授权访问,那就加上身份的认证来解决问题。关键参数:Basic Auth。 通过Basic Auth功能进行加密,在浏览器登录UI的时候需要输入用户密码,访问Prometheus api的时候也需要加上用户密码。 生产的prometheus版本2.17.1,版本太古老,Prometheus于2.24版本(包括2.24)之后提供Basic Auth功能进行加密访问,因此还需要做个升级。
Prometheus 是一套开源的系统监控报警框架。它由工作在 SoundCloud 的 员工创建,并在 2015 年正式发布的开源项目。2016 年,Prometheus 正式加入 Cloud Native Computing Foundation,非常的受欢迎。<
Prometheus 是一套开源的系统监控报警框架。它由工作在 SoundCloud 的 员工创建,并在 2015 年正式发布的开源项目。2016 年,Prometheus 正式加入 Cloud Native Computing Foundation,非常的受欢迎。<