开发者社区 > 云原生 > 微服务 > 正文

Nacos存在未授权访问,这个安全漏洞怎么修复?

Nacos存在未授权访问,这个安全漏洞怎么修复?http://127.0.0.1:8848/nacos/v1/core/cluster/nodes

展开
收起
真的很搞笑 2024-06-17 14:19:14 971 0
1 条回答
写回答
取消 提交回答
  • 要解决Nacos默认JWT密钥导致的未授权访问问题,可以遵循以下步骤:

    确认当前Nacos版本:首先,确保您的Nacos服务端版本至少为2.2.3,因为从这个版本开始,Nacos默认不再指定默认密钥以避免因未修改默认密钥而带来的安全风险。

    开启鉴权功能:如果尚未开启,您需要立即在Nacos配置中开启鉴权能力。这包括但不限于设置访问控制,确保只有经过身份验证的用户才能访问Nacos的管理界面和API。

    配置自定义JWT密钥:在Nacos配置文件中(如application.properties或nacos.conf),需要设置自定义的JWT密钥,例如nacos.core.auth.token.secret.key=your_custom_secret_key。确保这个密钥是复杂且随机生成的,以增加安全性。

    修改默认账户密码:即使开启了鉴权,也应该修改默认的用户名和密码,以防止因使用默认凭据而被轻易攻破。可以通过Nacos控制台或配置文件进行修改。

    升级与安全策略调整:如果条件允许,建议升级到最新稳定版本的Nacos,以应用最新的安全更新和特性。同时,考虑采取额外的安全措施,比如配置防火墙规则,仅允许特定IP或网络访问Nacos服务,以及启用TLS加密来保护数据传输。

    使用阿里云MSE Nacos云服务:对于寻求更简便管理和更高安全标准的用户,可以考虑使用阿里云MSE提供的Nacos云服务,它不仅内置了企业级鉴权能力,还包括配置信息的加解密和数据传输链路的TLS加密,且支持从自建Nacos实例平滑迁移至云版本,欢迎免费试用。

    image.png

    参考文档https://nacos.io/en/blog/faq/nacos-user-question-history14699/

    2024-06-18 09:12:53
    赞同 11 展开评论 打赏

为微服务建设降本增效,为微服务落地保驾护航。

相关电子书

更多
Nacos架构&原理 立即下载
workshop专场-微服务专场-开发者动手实践营-微服务-使用Nacos进行服务的动态发现和流量调度 立即下载
Nacos 启航,发布第一个版本, 云原生时代助力用户微服务平台建设 立即下载