这是一个创建于 1405 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近看到 Nacos 的鉴权漏洞,虽然最新版已经有解决方案了,但在文档上看到:
Nacos 定义为一个 IDC 内部应用组件,并非面向公网环境的产品,建议大家不要暴露在公网环境。
因为杂七杂八买了好几个服务器,且不说云厂商不同,即便是同个厂商的服务器,在不同地域的情况下也走不了内网。
如果我想在这些服务器部署项目并且使用 Nacos 这类组件,按照建议来做的话,是用防火墙和安全组限制出入站 IP ?
 |
1
letitbesqzr 2021-01-18 12:41:10 +08:00
首先第一步 肯定是限制掉只允许某些 ip 访问。
之前就遇到过某组件,没限制 ip 访问,但是该组件有登录验证,密码设置的很复杂,以为就安全了.... 结果没想到曝出了越权漏洞... |
 |
2
loading 2021-01-18 12:58:53 +08:00 via Android
很多人不了解内网和外网很多东西的取舍。例如 HTTPS 外网就必须,而一但进入机房后,就应该解掉 ssl 从而减轻加解密内耗了。
但是很多人就将这些裸奔到互联网。 |
 |
3
eason1874 2021-01-18 13:14:51 +08:00
应用内部流量可以走专用端口,然后在防火墙和安全组指定这个端口只允许你的其他服务器 IP 访问。
但不是说内网流量就不用鉴权了,防内网越权和内网横向移动也是很重要的。像 Nacos 那个 UA 授权后门,随便一个有权访问的节点中招就能越权,一台感染全网感染,指望内网隔离来负责安全是扯淡做法。 |
Select Language