Prometheus 添加 basic auth加密认证

最新推荐文章于 2025-03-20 17:37:22 发布
最新推荐文章于 2025-03-20 17:37:22 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: prometheus 文章标签: prometheus linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44493458/article/details/128190409
版权
本文档介绍了如何为Prometheus添加basic auth加密认证,以提高安全性。通过安装工具包生成加密密码,更新config.yml配置文件,修改docker-compose启动参数,并最终通过docker-compose启动服务,实现对Prometheus的加密访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

平常使用prometheus都是没有加密的安全措施的,有一些节点直接暴漏在公网上会出现安全问题。现在使用basic_auth加密,使prometheus安全一些。

一、安装工具包

安装工具包并生成加密后密码

yum -y install httpd-tools
htpasswd -nBC 12 '' | tr -d ':\n' 
New password: 
Re-type new password: 
# 生成的加密密码
$2y$12$BKFmICzKaeqjDCJOK/y9e./NcFso6XN10txEKwtzpguI3G
最低0.47元/天 解锁文章
Prometheus配置Basic Auth进行安全防护,实现登录控制
华为云官方博客
01-15 1926
在日常prometheus的使用中是没有安全加密措施的,可能会导致监控信息,敏感信息遭遇泄漏。在这种情况下需要保护对Prometheus的访问。
部署Prometheus Operator并配置basic Auth认证(保姆级)
m0_54211157的博客
05-21 1597
本文采用Operator方式简便部署kube-Prometheus。什么是Operator?Operator=Controller+CRD(Custom Resource Definition) 它来自于Kubernetes的理念,即用户可以定义新的管理配置的API对象,然后编写Controller来实现对云原生产品的管控需求[1]在kube-Prometheus的。
Promethues 添加访问密码
最新发布
eyeofeagle的博客
03-20 356
【代码】Promethues 添加访问密码。
Prometheus 配置Basic auth认证
Hu_wen的专栏
03-20 1838
Prometheus于2.24版本(包括2.24)之后提供Basic Auth功能进行加密访问,在浏览器登录UI的时候需要输入用户密码,访问Prometheus api的时候也需要加上用户密码。执行脚本后,在password:后面输入你要设置的密码,然后就会生成一串加密的密码串,记录下该密码串,后面配置会使用到。以上准备工作完成后,最后在启动的命令脚本中,需加入web.config.file的配置参数。注意的是,密码是加密前的明文密码,配置完成后重启服务就正常了。使用python脚本,生成加密密码串。
Prometheus加入BasicAuth认证,通过配置 Prometheus 的 Web 身份验证来限制访问/debug/pprof/
m0_63004677的博客
12-09 1740
Prometheus 作为监控工具,暴露了大量的系统监控数据和配置信息,这些数据可能包含敏感信息。Prometheus 默认没有身份验证,任何能够访问 Prometheus Web 界面的人都可以查看和查询这些数据。此外Prometheus Web 界面的/debug/pprof/接口存在信息泄露漏洞如果整改需要重新注释掉net/http/pprof,以及相关代码块,重新编译,比较麻烦,也可以采用这种身份验证来限制访问/debug/pprof/的方式来整改。
prometheus-basic_auth加密配置
大新新大浩浩的博客
06-08 5888
Prometheus-basic-auth开启
Prometheus配置basic_auth
weixin_51369125的博客
11-01 778
Prometheus是一个开源的系统监控和报警框架,其本身也是一个时序列数据库(TSDB),它的设计灵感来源于Google的Borgmon,就像Kubernetes是基于Borg系统开源的。。Prometheus于2016年加入云原生计算机基金会(Cloud Native Computing Foundation,简称CNCF),成为了受欢迎程度仅次于Kubernetes的开源项目。
Prometheus加入BasicAuth认证,通过配置 Prometheus 的 Web 身份验证来限制访问debugpprof
m0_74825108的博客
12-24 905
Prometheus 作为监控工具,暴露了大量的系统监控数据和配置信息,这些数据可能包含敏感信息。Prometheus 默认没有身份验证,任何能够访问 Prometheus Web 界面的人都可以查看和查询这些数据。此外Prometheus Web 界面的/debug/pprof/接口存在信息泄露漏洞如果整改需要重新注释掉net/http/pprof,以及相关代码块,重新编译,比较麻烦,也可以采用这种身份验证来限制访问/debug/pprof/的方式来整改。
Prometheus】为Prometheus设置basic_auth访问权限
cnskylee的博客
10-24 1412
Prometheus配置basic_auth的完整步骤说明
Prometheus使用Basic Auth进行安全防护,实现登录控制
03-08 3347
Prometheus于2.24版本(包括2.24)之后提供Basic Auth功能进行加密访问,在浏览器登录UI的时候需要输入用户密码,访问Prometheus api的时候也需要加上用户密码。大致步骤如下预制用户密码,其中密码使用python3工具包加密创建对应用户密码配置文件,修改普罗启动命令(operator场景通过ngress-nginx方式)由于Prometheus访问需要认证,如果普罗负载存在探针则修改普罗负载本身的探针配置。
Prometheus自带的Basic Authentication给我一个登录认证示例,用户名密码设置成密文...
weixin_35755823的博客
02-11 514
Prometheus 自带的 Basic Authentication 可以通过在 Prometheus 配置文件中设置用户名和密码来实现登录认证。对于密码,通常采用密文来存储。以下是一个示例配置: # Prometheus 配置文件 global: scrape_interval: 15s evaluation_interval: 15s scrape_configs: -...
二、Prometheus TLS加密认证和基于 basic_auth 用户名密码访问
热门推荐
李在奋斗的博客
03-18 1万+
文章目录Prometheus 基于用户名密码访问1. `Node Export`端配置密码2. 在被监控端这里生成密码3. 在node_exporter中新增配置文件4. node_exporter启动时引用该配置5. 访问http://192.168.2.44:9100/metrics需要账户密码验证了6. 配置Prometheus启用用户名密码访问7. 重启Prometheus后可以看到数据可以正常采集了`Prometheus` 对 `Node_Exporter` TLS加密认证1. 启用 TLS ,准
Prometheus系列(3)之基本认证
fxtxz2的专栏
10-31 1585
Prometheus的基本认证
Prometheus 加密配置、登录认证两种方式及踩坑。
MovemOemVeovE的博客
06-07 4868
Prometheus 加密配置、登录认证两种方式及踩坑。
Prometheus配置认证
Asuicao的博客
03-13 1570
升级后prometheus-server服务起不来,原因:健康检查配的url检查,报。使用Base64编码转换对应的账号密码。使用Base64编码加密后。
Prometheus添加基本身份验证功能
小太阳DENGJIE的博客
06-26 866
重启Prometheus后,尝试通过浏览器访问Prometheus的Web UI。输入之前设置的用户名和原始密码123456(不是哈希后的密码,),如果一切正常,应该能够成功登录并查看Prometheus的监控数据。在Prometheus的配置目录下(例如/etc/prometheus,和prometheus.yml配置文件同目录),创建一个新的YAML配置文件,如web.yml。脚本会提示输入密码,然后输出哈希后的密码串。使用Prometheus提供的promtool工具来验证配置文件的正确性。
Prometheus basic auth实现用户密码登录
qq_37377136的博客
02-19 3391
Prometheus basic auth实现用户密码登录
Prometheus 使用Nginx(basic auth)做认证
云原生,DevOps,Kubernetes
01-18 1888
Prometheus 本身以及node_export 是不带认证的,也就是说默认情况下随便可以访问到Prometheus的配置,包括Configuration,Rule,Targets等等全部配置,这显然是不安全的。暂时官方提供的解决方案就是使用Nginx作为方向代理,启用basic auth。SECURING PROMETHEUS API AND UI ENDPOINTS USING BASIC...
Prometheus 登录用户认证
极致,细节
01-19 2623
prometheus默认是没有用户密码登录认证的,对于部分环境可能会存在受攻击风险,以下实现安全用户密码登录。
prometheus怎样在配置文件中添加基础认证
03-12
<think>好的,用户之前问过如何在Prometheus中实现访问控制,现在他具体想知道如何在配置文件中添加基础认证。我需要回想一下,Prometheus本身是否支持在配置文件中直接配置基础认证。根据之前的知识,Prometheus的组件比如Alertmanager支持基础认证,但Prometheus Server本身并不支持在配置文件中直接添加HTTP基础认证。 用户可能误解了,以为像Nginx那样可以在Prometheus的配置文件中直接设置用户名和密码。但实际情况是,Prometheus需要通过外部工具如反向代理来实现基础认证。因此,我需要澄清这一点,避免用户尝试在prometheus.yml中添加不支持的配置导致错误。 不过,用户的问题明确提到“在配置文件中添加基础认证”,可能需要检查是否有新版本的Prometheus支持了这个功能。查阅最新文档,确认Prometheus Server仍然不直接支持基础认证,必须依赖反向代理或其他中间件。因此,正确的回答应该是解释这一点,并提供通过Nginx或类似工具配置的方法,同时也可以提到Prometheus的exporter或其他组件可能支持的情况,但Server本身不支持。 另外,用户可能有实际需求,不想引入额外的组件,希望直接在Prometheus中配置认证。这时候需要明确告知不可行,并提供替代方案。同时,用户可能对安全性有要求,需要强调使用基础认证的局限性,并建议更安全的方法如OAuth2或双向TLS。 总结回答的结构:首先说明Prometheus本身不支持,然后给出通过反向代理的步骤,再提到其他组件如Alertmanager的支持情况,最后给出最佳实践建议。确保用户理解正确的配置位置和方法,避免配置错误导致服务不可用。</think>Prometheus **自身不直接支持在配置文件中配置基础认证**(如用户名密码),但可以通过反向代理(如Nginx、Apache)或集成第三方工具(如OAuth2 Proxy)实现。以下是分步骤实现方案: --- ### 一、通过反向代理添加基础认证(以Nginx为例) #### 1. 配置Nginx基础认证 1. **生成密码文件** 使用`htpasswd`创建加密的密码文件(需安装`apache2-utils`): ```bash sudo htpasswd -c /etc/nginx/.htpasswd prometheus_user # 创建用户prometheus_user并设置密码 ``` 2. **配置Nginx反向代理** 在Nginx配置文件中(如`/etc/nginx/sites-available/prometheus`)添加以下内容: ```nginx server { listen 80; server_name prometheus.example.com; location / { auth_basic "Prometheus Authentication Required"; auth_basic_user_file /etc/nginx/.htpasswd; # 指向密码文件 proxy_pass http://localhost:9090; # 转发到Prometheus服务 proxy_set_header Host $host; } } ``` 3. **重启Nginx生效** ```bash sudo systemctl restart nginx ``` #### 2. 验证访问 - 浏览器访问 `http://prometheus.example.com`,会弹出登录窗口,需输入用户名密码。 - 命令行验证: ```bash curl -u prometheus_user:password http://prometheus.example.com ``` --- ### 二、Prometheus配置文件相关调整 虽然无法直接在`prometheus.yml`中配置认证,但可通过以下参数增强安全性: 1. **限制监听地址** 启动Prometheus时,绑定到本地回环地址(避免直接暴露到公网): ```bash ./prometheus --web.listen-address=127.0.0.1:9090 ``` 2. **配置TLS加密(可选)** 若需加密通信,可启用HTTPS: ```yaml # prometheus.yml web: tls_server_config: cert_file: /path/to/cert.pem key_file: /path/to/key.pem ``` --- ### 三、其他组件的基础认证配置 若需为Prometheus生态工具(如Alertmanager)添加基础认证,可直接在它们的配置文件中实现: #### Alertmanager示例 ```yaml # alertmanager.yml route: receiver: default receivers: - name: default webhook_configs: - url: http://webhook.example.com http_config: basic_auth: username: admin password: securepassword ``` --- ### 四、替代方案:OAuth2 Proxy 若需企业级认证(如SSO、GitHub登录等),可使用[OAuth2 Proxy](https://oauth2-proxy.github.io/oauth2-proxy/): 1. 部署OAuth2 Proxy,配置身份提供商(如Google、GitHub)。 2. 在反向代理中设置将所有请求转发至OAuth2 Proxy,再代理到Prometheus。 --- ### 五、最佳实践 1. **不要直接暴露Prometheus到公网**,始终通过反向代理访问。 2. **定期更新密码文件**: ```bash sudo htpasswd /etc/nginx/.htpasswd new_user # 添加新用户 sudo htpasswd -D /etc/nginx/.htpasswd old_user # 删除旧用户 ``` 3. **监控Nginx日志**: ```bash tail -f /var/log/nginx/access.log | grep 401 # 追踪认证失败记录 ``` --- ### 总结 Prometheus本身不支持配置文件级的基础认证,需依赖反向代理实现访问控制。推荐使用Nginx基础认证或OAuth2 Proxy,并结合防火墙/IP白名单,实现多层防护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值