普罗米修斯是一个复杂的系统,它有许多的组件并且集成了许多其它的系统。它可以被部署到各种被信任和不被信任的环境中。
这篇文章描述了一些关于普罗米修斯的常见的安全假设和攻击维度,一些配置可能启用的。
像任何复杂的系统一样,普罗米修斯也不可能保证没有Bug。如果你发现了一个安全bug,请在相关的组件里提issue。
普罗米修斯
通常不被信任的用户有权限去访问普罗米修斯HTTP节点和日志。他们可以访问普罗米修斯数据库中的所有时序信息,加上各种操作或者调试信息。
另外只有被信任的用户可以改变普罗米修斯或者其它组件的命令行,配置文件,规则文件和其它方面的运行时环境。
普罗米修斯抓取哪些目标,多久抓取目标,以及其它的设置是完全通过普罗米修斯配置文件设置的。管理员可能决定去使用服务发现系统的信息,结合relabel,可能授权其中的一些控制给任何可以更改服务发现系统中的数据的用户。
被抓取的目标可能是不信任的用户运行的。对于一个目标来说应该是默认不可能的去暴露数据(模仿一个不同的目标)。honor_labels选项移除了这个包,relabelling设置。
在Prometheus2.0, --web.enable-admin-api 配置控制管理HTTP API的访问权限,包括删除时间序列数据的功能。这些默认是被禁用的。如果被启用了,管理和编译的功能将被访问在 /api/*/admin/ 路径。--web.enable-lifecycle配置通过HTTP控制普罗米修斯的重启和关闭。这个也是默认未启用的。如果被启用了,它们可以通过/-/reload 和 /-/quit路径访问。
在Prometheus1.x版本中,/-/reload和/api/v1/series的DELETE HTTP API是可以被任何人访问的。 /-/quit 节点是默认被关闭的,但是可以通过-web.enable-remote-shutdown标识开启此功能。
远程读功能允许任何人通过HTTP请求向远程读节点发送查询请求。例如PromQL查询可以最终直接运行通过一个关系型数据库,那么任何人可以发送查询语句给Prometheus(例如通过Grafana)都可以直接运行SQL在那个数据库上。
AlterManager
任何可以访问Altermanager HTTP节点的用户都可以访问它的数据。它们可以创建和解决报警。他们可以创建,修改和删除silence。
报警通知发到哪儿是通过配置文件决定的。在某种模板设置下,它是可能的对通知来说最终结束在一个报警定义的目的地。例如,如果通知使用了一个报警 label 作为一个目标邮箱地址,任何人它可以发送报警给Alertmanager的都可以发送通知给任何邮箱地址。如果报警定义的目的地是一个模板秘密字段,任何人有权限访问普罗米修斯或者Altermanager豆浆有能力去看这个secrets。
在上面的用例中,任何模板化的secret字段的目的都是为了路由通知。它们的目的不是作为一个方式,利用模板文件特征,去将secrets从模板文件中分离。例如在大型的配置中,每一个团队都可能有一个alermanager配置文件片段他们可以完全控制的,这些片段最红被结合成一个完整的最终的文件。
Pushgateway
任何可以访问Pushgateway HTTP节点的用户,都可以创建,修改和删除包含在其中的metrics。因为Pushgateway通常被抓取with honor_lables 启用,这个意味着任何有权限访问Pushgateway的用户都可以在普罗米修斯中创建任何时序数据。
Exporters
Exporters通常仅仅和一个配置好的实力通信,该实例通常提前设置好了命令和请求,并且不能通过它们的HTTP节点扩展。
这儿也有一些exporters例如SNMP和Blackbox exporters它们从URL变量中获取目标。因此任何人有权限通过HTTP请求访问这些exporters的用户,都可以让它们发送请求给任意的节点。因为他们通常也支持客户端认证,这些可以导致一个secret泄露,例如HTTP Basic认证密码或者SNMP社区字符串。更有挑战的回复授权机制例如TLS不会被这个影响。
Client libraries
client libraries的目的是包含在用户的应用程序中。如果使用一个client-library提供的HTTP节点,它不应该对于恶意的请求哪些访问这些handler去引起问题,除非额外的加载和失败的抓取。
认证、授权、加密
普罗米修斯和它的组件不提供任何服务端的认证,授权或者加密。如果你想要这些,那么推荐你使用一个反向代理。
各种各样的普罗米修斯的组件支持客户端的认证和加密。如果TLS客户端支持被提供了,这儿也时常有一个选项叫做 insecure_skip_verify 命令跳过SSL认证。
秘钥
没有秘钥的信息或者字段通过HTTP API或者日志是可以得到的。
在普罗米修斯,元素通过服务发现系统取到的不被认为是秘密的。通过普罗米修斯系统,metrics不被认为是秘密的。
fields包含秘钥在配置文件中的(清晰的标记在文档中)将不会被暴露在日志中或者通过HTTP API暴露出去。Secrets不应该被放在其它的配置项中,因为是常见的组件暴露它们的配置通过HTTP节点。
其它来源的秘钥被依赖使用(例如 AWS_SECRET_KEY环境变量被EC2服务发现使用)可能最终被暴露由于代码在我们的控制之外或者由于哪些功能在它们存储的地方暴露了秘钥。
拒绝服务
这儿有一些替换关于过度负载或者昂贵的查询。然而,如果太多或者太贵的查询/metrics被提供,那组件就有可能失败。它是更可能的一个组件被无意的被信任的用户的恶意举动攻击。
那是用户的职责确保他们提供的组件拥有充足的资源包括CPU,RAM,磁盘空间,IOPS,文件描述符和带宽。
推荐监控所有组件的失败,并且给他们设置失败自动重启。
Libraries
这个文档考虑的二进制是通过标准的二进制代码编译的。这里展示的信息不应用在如果你修改了Prometheus的源代码,或者使用普罗米修斯内部功能(超出了官方提供的客户端API)在你自己的代码里。
编译过程
普罗米修斯的编译过程都是运行在第三方提供者,有许多的普罗米修斯开发团队和开发者有权限做这些。如果你关注你的二进制版本的确切起源,那么推荐你自己编译它而不是依赖这些工程的预编译版本。
翻译官方文档
https://prometheus.io/docs/operating/security/
PS:由于缺乏实践,这里有很多内容都没有理解,需要实践支撑,回过头再来研究。
