【Prometheus】为Prometheus设置basic_auth访问权限

原创 已于 2024-10-24 15:18:08 修改 · 1.8k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#prometheus #basic_auth #python3 #pip3 #1024程序员节

于 2024-10-24 15:07:53 首次发布
部署运行你感兴趣的模型镜像

        Prometheus目前已经成为国、内外互联网行业,一款非常知名的免费监控工具,我们可以通过它,以及Prometheus官方、第三方提供的一些exporter工具,对系统、中间件、数据库等一系列的软、硬件的运行数据,进行采集、存储、监控和告警。但是,随着系统安全要求的越来越严格,prometheus的 targets 在没有任何安全防护的情况下可以被随意访问,是存在一定的安全风险的。

      

       所以,下面我们就根据官方提供的说明,对Prometheus进行的表达式浏览器以及HTTP API的访问,进行一个“基础认证”(basic authentication,简称basic_auth)加固。

       第一步,我们需要一个安装了Python3的操作系统,这里我使用的系统版本是 AlmaLinux 8.10。这个系统自带的Python3版本为3.6.8版本,我这里先使用二进制包,将版本升级到官方最新的3.13.0稳定版(大家可升级,可不升级,自己决定即可)。

# 安装必须的依赖包
dnf -y install gcc zlib* libffi-devel

# 下载并安装3.13.0版本的python3
tar -xf Python-3.13.0.tar.xz
cd Python-3.13.0/
./configure --prefix=/usr/local/python3 --enable-optimizations
make 
make install

# 备份原先的python3和pip3程序文件
cd /usr/bin
mv python3 python3bak
mv pip3 pip3bak

# 创建软连接
ln -s /usr/local/python3/bin/python3 /usr/bin/python3
ln -s /usr/local/python3/bin/pip3 /usr/bin/pip3

# 检查版本
# python3 -V
Python 3.13.0
# pip3 -V
pip 24.2 from /usr/local/python3/lib/python3.13/site-packages/pip (python 3.13)

# 安装 bcrypt 库
pip3 install bcrypt

备注:以上操作需要虚拟机可以联网。

       第二步,我们创建一个gen-pass.py文件,文件内容如下:

import getpass
import bcrypt

password = getpass.getpass("password: ")
hashed_password = bcrypt.hashpw(password.encode("utf-8"), bcrypt.gensalt())
print(hashed_password.decode())

注意,password: 后面有一个空格,这里就是我们在执行这个py脚本时需要手动输入密码。

       第三步,执行上面的py脚本

# python3 ./gen-pass.py
password: 
$2b$12$Wo0aNNYiqSstP1fpD0avQOgD5oKYoeDbX8A596prhMZXTVLZTzaeG

注意,在出现password:时,我们需要输入一个密码,然后下面的一长串字符串,就是密码加密后的字符串。

       第四步,我们在prometheus的安装目录下,创建一个名称为web.yml文件,内容如下

basic_auth_users:
    admin: $2b$12$Wo0aNNYiqSstP1fpD0avQOgD5oKYoeDbX8A596prhMZXTVLZTzaeG

注意,admin是用户名,冒号后面有一个空格,不能丢!空格后面就是上一步生成的加密串。

使用promtool工具来校验web.yml文件的格式配置,校验成功。

# ./promtool check web-config ./web.yml 
./web.yml SUCCESS

       第五步,重启prometheus,在启动命令参数里面加上 --web.config.file=./web.yml

./prometheus --web.config.file=./web.yml --web.listen-address="192.168.223.10:19090" --web.enable-lifecycle --storage.tsdb.retention=30d &

       最后,我们通过浏览器来访问prometheus的URL地址时,会先弹出一个登录窗口,输入用户名(admin)和密码(你设置明文密码),即可成功访问prometheus。

       

       另外,如果prometheus配置了basic_auth,那么将prometheus作为数据源配置到Grafana时,也需要将basic_auth的信息配置到Grafana里面,如下图所示。

      

参考:

https://prometheus.io/docs/guides/basic-auth/

您可能感兴趣的与本文相关的镜像

Python3.9

Python3.9

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

Prometheus 登录用户认证
极致,细节
01-19 2941
prometheus默认是没有用户密码登录认证的,对于部分环境可能会存在受攻击风险,以下实现安全用户密码登录。
二、Prometheus TLS加密认证和基于 basic_auth 用户名密码访问
热门推荐
李在奋斗的博客
03-18 1万+
文章目录Prometheus 基于用户名密码访问1. `Node Export`端配置密码2. 在被监控端这里生成密码3. 在node_exporter中新增配置文件4. node_exporter启动时引用该配置5. 访问http://192.168.2.44:9100/metrics需要账户密码验证了6. 配置Prometheus启用用户名密码访问7. 重启Prometheus后可以看到数据可以正常采集了`Prometheus` 对 `Node_Exporter` TLS加密认证1. 启用 TLS ,准
Promethues 添加访问密码
eyeofeagle的博客
03-20 655
【代码】Promethues 添加访问密码
Prometheus加入BasicAuth认证,通过配置 Prometheus 的 Web 身份验证来限制访问/debug/pprof/
m0_63004677的博客
12-09 2466
Prometheus 作为监控工具,暴露了大量的系统监控数据和配置信息,这些数据可能包含敏感信息。Prometheus 默认没有身份验证,任何能够访问 Prometheus Web 界面的人都可以查看和查询这些数据。此外Prometheus Web 界面的/debug/pprof/接口存在信息泄露漏洞如果整改需要重新注释掉net/http/pprof,以及相关代码块,重新编译,比较麻烦,也可以采用这种身份验证来限制访问/debug/pprof/的方式来整改。
Prometheus Operator安全配置:RBAC权限与TLS加密
最新发布
gitblog_00591的博客
10-21 552
在Kubernetes环境中部署Prometheus时,错误的安全配置可能导致监控数据泄露或未授权访问。本文将通过实战案例,详细讲解如何通过RBAC(基于角色的访问控制)和TLS(传输层安全)加密保护Prometheus Operator的部署安全,确保普通用户及运营人员也能轻松实施企业级安全防护。 ## RBAC权限控制:最小权限原则实践 RBAC(Role-Based Access Con...
Prometheus 添加 basic auth加密认证
weixin_44493458的博客
12-05 2698
prometheus 添加 basic auth 认证
Prometheus配置Basic Auth进行安全防护,实现登录控制
华为云官方博客
01-15 2213
在日常prometheus的使用中是没有安全加密措施的,可能会导致监控信息,敏感信息遭遇泄漏。在这种情况下需要保护对Prometheus的访问。
Prometheus 配置Basic auth认证
Hu_wen的专栏
03-20 2619
Prometheus于2.24版本(包括2.24)之后提供Basic Auth功能进行加密访问,在浏览器登录UI的时候需要输入用户密码,访问Prometheus api的时候也需要加上用户密码。执行脚本后,在password:后面输入你要设置密码,然后就会生成一串加密的密码串,记录下该密码串,后面配置会使用到。以上准备工作完成后,最后在启动的命令脚本中,需加入web.config.file的配置参数。注意的是,密码是加密前的明文密码配置完成后重启服务就正常了。使用python脚本,生成加密密码串。
Prometheus加入BasicAuth认证,通过配置 Prometheus 的 Web 身份验证来限制访问debugpprof
m0_74825108的博客
12-24 1070
Prometheus 作为监控工具,暴露了大量的系统监控数据和配置信息,这些数据可能包含敏感信息。Prometheus 默认没有身份验证,任何能够访问 Prometheus Web 界面的人都可以查看和查询这些数据。此外Prometheus Web 界面的/debug/pprof/接口存在信息泄露漏洞如果整改需要重新注释掉net/http/pprof,以及相关代码块,重新编译,比较麻烦,也可以采用这种身份验证来限制访问/debug/pprof/的方式来整改。
prometheus、alertmanager、pushgateway使用basic_auth增加密码
weixin_45031193的博客
04-22 4301
config.yaml文件内容。config.yaml文件内容。config.yaml文件内容。
Prometheus配置basic_auth
weixin_51369125的博客
11-01 961
Prometheus是一个开源的系统监控和报警框架,其本身也是一个时序列数据库(TSDB),它的设计灵感来源于Google的Borgmon,就像Kubernetes是基于Borg系统开源的。。Prometheus于2016年加入云原生计算机基金会(Cloud Native Computing Foundation,简称CNCF),成为了受欢迎程度仅次于Kubernetes的开源项目。
prometheus-basic_auth加密配置
大新新大浩浩的博客
06-08 6230
Prometheus-basic-auth开启
部署Prometheus Operator并配置basic Auth认证(保姆级)
m0_54211157的博客
05-21 1962
本文采用Operator方式简便部署kube-Prometheus。什么是Operator?Operator=Controller+CRD(Custom Resource Definition) 它来自于Kubernetes的理念,即用户可以定义新的管理配置的API对象,然后编写Controller来实现对云原生产品的管控需求[1]在kube-Prometheus的。
Prometheus使用Basic Auth进行安全防护,实现登录控制
03-08 3591
Prometheus于2.24版本(包括2.24)之后提供Basic Auth功能进行加密访问,在浏览器登录UI的时候需要输入用户密码,访问Prometheus api的时候也需要加上用户密码。大致步骤如下预制用户密码,其中密码使用python3工具包加密创建对应用户密码配置文件,修改普罗启动命令(operator场景通过ngress-nginx方式)由于Prometheus访问需要认证,如果普罗负载存在探针则修改普罗负载本身的探针配置
Prometheus basic auth实现用户密码登录
qq_37377136的博客
02-19 4066
Prometheus basic auth实现用户密码登录
Prometheus 使用Nginx(basic auth)做认证
云原生,DevOps,Kubernetes
01-18 2154
Prometheus 本身以及node_export 是不带认证的,也就是说默认情况下随便可以访问到Prometheus配置,包括Configuration,Rule,Targets等等全部配置,这显然是不安全的。暂时官方提供的解决方案就是使用Nginx作为方向代理,启用basic auth。SECURING PROMETHEUS API AND UI ENDPOINTS USING BASIC...
Prometheus中添加基本身份验证功能
小太阳DENGJIE的博客
06-26 1094
重启Prometheus后,尝试通过浏览器访问Prometheus的Web UI。输入之前设置的用户名和原始密码123456(不是哈希后的密码,),如果一切正常,应该能够成功登录并查看Prometheus的监控数据。在Prometheus配置目录下(例如/etc/prometheus,和prometheus.yml配置文件同目录),创建一个新的YAML配置文件,如web.yml。脚本会提示输入密码,然后输出哈希后的密码串。使用Prometheus提供的promtool工具来验证配置文件的正确性。
Prometheus认证访问-grafana配置-安装mysql和redis的节点监控
privateobject的博客
08-17 1819
> Prometheus 对其安全模型做了修改 , 后续其他的组件,都将支持 TLS 和 basic auth, 同时也列出了最新的安全基准(默认情况下都支持 TLS v1.2 及以上) > htpasswd建立和更新存储用户名、密码的文本文件, 用于对HTTP用户的basic认证 > mysql_exporter是用来收集MysQL或者Mariadb数据库相关指标的,mysql_exporter需要连接到数据库并有相关权限。 > Prometheus也可以用redis_exporter来监控Redis。.
Checking prometheus.yml FAILED: parsing YAML file prometheus.yml: authorization type cannot be set to "basic", use "basic_auth" instead
03-12
首先,回顾之前的对话,用户之前遇到的错误是因为在较新版本的Prometheus中,`basic_auth`被替换为`authorization`字段,并需要指定类型。现在这个错误看起来像是用户可能已经按照之前的建议修改了配置文件,但可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cnskylee

技术分享我是认真的,期待您打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值