Prometheus配置basic_auth

最新推荐文章于 2024-12-24 14:55:21 发布
最新推荐文章于 2024-12-24 14:55:21 发布
阅读量815 收藏 3
点赞数 1
CC 4.0 BY-SA版权
文章标签: prometheus 网络安全 web安全 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51369125/article/details/134156039
本文介绍了如何在Prometheus部署后增加基本认证加密,包括安装工具、生成密钥、配置web-config.yml和prometheus.yml,以及修改Service文件,确保只有授权用户能访问监控数据,防止数据泄露。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、什么是Prometheus?

在这里插入图片描述

  1. Prometheus是一个开源的系统监控和报警框架,其本身也是一个时序列数据库(TSDB),它的设计灵感来源于Google的Borgmon,就像Kubernetes是基于Borg系统开源的。
  2. Prometheus是由SoundCloud的Google前员工设计并开源的,官方网站:Prometheus - Monitoring system & time series database 。Prometheus于2016年加入云原生计算机基金会(Cloud Native Computing Foundation,简称CNCF),成为了受欢迎程度仅次于Kubernetes的开源项目。
问题

prometheus部署完成后,是通过web进行访问的,但是大部分人部署完成后是没有进行加密的安全措施,导致在公网上可以给任何人都能访问,从而暴露出公司内部监控的所有Targets。

在FOFA平台通过protocol="prometheus(http)"的语法进行搜索

在这里插入图片描述

可以发现很多都是没有进行加密的,导致Targets以及配置的泄露。

在这里插入图片描述

解决问题

使用basic_auth加密

二、配置

1、安装所需的工具包,并生成basic_auth密钥
# yum install httpd-tools -y

# htpasswd -nBC 12 '' | tr -d ':\n'
# 密码设置的是123
New password: 			
Re-type new password: 
# 生成的密钥信息
$2y$12$p/NIsggcAYK.qr89GgY6NeiSCROoX//nOELaBX3mQl5GnxtX7tNPS
2、在prometheus的文件夹下添加配置文件
# cd /usr/local/prometheus
# vim web-config.yml 
basic_auth_users:
    admin: $2y$12$p/NIsggcAYK.qr89GgY6NeiSCROoX//nOELaBX3mQl5GnxtX7tNPS
3、修改prometheus.yml配置文件
scrape_configs:
  - job_name: "prometheus"
    basic_auth:
      username: admin	# 账号为admin
      password: 123		# 密码为123
    static_configs:
      - targets: ["192.168.20.50:39090"]
4、修改prometheus的Service文件。[我这里使用的是二进制部署的prometheus]
# vim /usr/lib/systemd/system/prometheus.service
[Unit]
Description=Prometheus Server
Documentation=https://prometheus.io
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/prometheus/prometheus \
--config.file=/usr/local/prometheus/prometheus.yml \
--web.listen-address=:39090 \
--web.config.file=/usr/local/prometheus/web-config.yml \
--storage.tsdb.path=/usr/local/prometheus/data/ \
--storage.tsdb.retention=15d \
--web.enable-lifecycle

ExecReload=/bin/kill -HUP $MAINPID
Restart=on-failure
[Install]
WantedBy=multi-user.target
5、重启服务
# systemctl restart prometheus

三、检验

在浏览器使用Ctrl+F5,强制刷新

在这里插入图片描述

此时需要刚刚设置的账号和密码才能登录进入prometheus的页面,防止了相关数据的泄露。

Prometheus使用Basic Auth进行安全防护,实现登录控制
03-08 3414
Prometheus于2.24版本(包括2.24)之后提供Basic Auth功能进行加密访问,在浏览器登录UI的时候需要输入用户密码,访问Prometheus api的时候也需要加上用户密码。大致步骤如下预制用户密码,其中密码使用python3工具包加密创建对应用户密码配置文件,修改普罗启动命令(operator场景通过ngress-nginx方式)由于Prometheus访问需要认证,如果普罗负载存在探针则修改普罗负载本身的探针配置
Prometheus】为Prometheus设置basic_auth访问权限
cnskylee的博客
10-24 1541
Prometheus配置basic_auth的完整步骤说明
Prometheus 配置Basic auth认证
Hu_wen的专栏
03-20 2159
Prometheus于2.24版本(包括2.24)之后提供Basic Auth功能进行加密访问,在浏览器登录UI的时候需要输入用户密码,访问Prometheus api的时候也需要加上用户密码。执行脚本后,在password:后面输入你要设置的密码,然后就会生成一串加密的密码串,记录下该密码串,后面配置会使用到。以上准备工作完成后,最后在启动的命令脚本中,需加入web.config.file的配置参数。注意的是,密码是加密前的明文密码,配置完成后重启服务就正常了。使用python脚本,生成加密密码串。
prometheus-basic_auth加密配置
大新新大浩浩的博客
06-08 6029
Prometheus-basic-auth开启
部署Prometheus Operator并配置basic Auth认证(保姆级)
m0_54211157的博客
05-21 1731
本文采用Operator方式简便部署kube-Prometheus。什么是Operator?Operator=Controller+CRD(Custom Resource Definition) 它来自于Kubernetes的理念,即用户可以定义新的管理配置的API对象,然后编写Controller来实现对云原生产品的管控需求[1]在kube-Prometheus的。
Prometheus配置Basic Auth进行安全防护,实现登录控制
华为云官方博客
01-15 2042
在日常prometheus的使用中是没有安全加密措施的,可能会导致监控信息,敏感信息遭遇泄漏。在这种情况下需要保护对Prometheus的访问。
Prometheus加入BasicAuth认证,通过配置 PrometheusWeb 身份验证来限制访问debugpprof
m0_74825108的博客
12-24 975
Prometheus 作为监控工具,暴露了大量的系统监控数据和配置信息,这些数据可能包含敏感信息。Prometheus 默认没有身份验证,任何能够访问 Prometheus Web 界面的人都可以查看和查询这些数据。此外Prometheus Web 界面的/debug/pprof/接口存在信息泄露漏洞如果整改需要重新注释掉net/http/pprof,以及相关代码块,重新编译,比较麻烦,也可以采用这种身份验证来限制访问/debug/pprof/的方式来整改。
Prometheus 添加 basic auth加密认证
weixin_44493458的博客
12-05 2548
prometheus 添加 basic auth 认证
prometheus、alertmanager、pushgateway使用basic_auth增加密码
weixin_45031193的博客
04-22 4040
config.yaml文件内容。config.yaml文件内容。config.yaml文件内容。
Prometheus加入BasicAuth认证,通过配置 PrometheusWeb 身份验证来限制访问/debug/pprof/
m0_63004677的博客
12-09 1999
Prometheus 作为监控工具,暴露了大量的系统监控数据和配置信息,这些数据可能包含敏感信息。Prometheus 默认没有身份验证,任何能够访问 Prometheus Web 界面的人都可以查看和查询这些数据。此外Prometheus Web 界面的/debug/pprof/接口存在信息泄露漏洞如果整改需要重新注释掉net/http/pprof,以及相关代码块,重新编译,比较麻烦,也可以采用这种身份验证来限制访问/debug/pprof/的方式来整改。
二、Prometheus TLS加密认证和基于 basic_auth 用户名密码访问
热门推荐
李在奋斗的博客
03-18 1万+
文章目录Prometheus 基于用户名密码访问1. `Node Export`端配置密码2. 在被监控端这里生成密码3. 在node_exporter中新增配置文件4. node_exporter启动时引用该配置5. 访问http://192.168.2.44:9100/metrics需要账户密码验证了6. 配置Prometheus启用用户名密码访问7. 重启Prometheus后可以看到数据可以正常采集了`Prometheus` 对 `Node_Exporter` TLS加密认证1. 启用 TLS ,准
Prometheus 使用Nginx(basic auth)做认证
云原生,DevOps,Kubernetes
01-18 1936
Prometheus 本身以及node_export 是不带认证的,也就是说默认情况下随便可以访问到Prometheus配置,包括Configuration,Rule,Targets等等全部配置,这显然是不安全的。暂时官方提供的解决方案就是使用Nginx作为方向代理,启用basic auth。SECURING PROMETHEUS API AND UI ENDPOINTS USING BASIC...
Prometheus basic auth实现用户密码登录
qq_37377136的博客
02-19 3641
Prometheus basic auth实现用户密码登录
Prometheus中添加基本身份验证功能
小太阳DENGJIE的博客
06-26 950
重启Prometheus后,尝试通过浏览器访问PrometheusWeb UI。输入之前设置的用户名和原始密码123456(不是哈希后的密码,),如果一切正常,应该能够成功登录并查看Prometheus的监控数据。在Prometheus配置目录下(例如/etc/prometheus,和prometheus.yml配置文件同目录),创建一个新的YAML配置文件,如web.yml。脚本会提示输入密码,然后输出哈希后的密码串。使用Prometheus提供的promtool工具来验证配置文件的正确性。
Prometheus配置认证
Asuicao的博客
03-13 1702
升级后prometheus-server服务起不来,原因:健康检查配的url检查,报。使用Base64编码转换对应的账号密码。使用Base64编码加密后。
Prometheus数据收集配置参数
summer_fish的专栏
06-02 3406
通过配置这些参数,Prometheus可以定期从目标地址收集指标数据,并应用标签重写和修改规则来调整数据的格式和内容。:指定Prometheus在数据收集时等待每个目标的超时时间,默认为10秒。:这是一个列表,包含了一系列规则,用于修改和重写目标地址的标签。,可以对目标地址的标签进行过滤、修改、映射等操作,以适应不同的数据收集需求。:指定Prometheus对目标进行数据收集的时间间隔,默认为15秒。:定义每个目标的数据收集超时时间,默认为10秒。:定义目标的地址列表,可以是IP地址或域名。
prometheus怎么增加身份认证
m0_37680131的博客
08-04 1857
前言:prometheus默认是没有用户密码登录认证的,对于部分环境可能会存在受攻击风险,那么怎么实现用户密码的身份验证呢?执行docker-compose up -d启动prometheus。修改prometheus的docker-compose配置文件。登录prometheus验证,已经成功添加密码认证了。vim新建文件basic_auth.yaml。3、增加密码认证的启动配置。2、增加身份认证配置文件。1、对密码进行哈希处理。执行脚本,生成加密密码。微信公众号:运维之美。
jmx_prometheus_javaagent 监控JVM实战
lyy12332133的博客
02-16 524
【代码】jmx_prometheus_javaagent 监控JVM实战。
Checking prometheus.yml FAILED: parsing YAML file prometheus.yml: authorization type cannot be set to "basic", use "basic_auth" instead
最新发布
03-12
<think>好的,用户现在遇到了另一个关于Prometheus配置文件的错误,这次是在检查时提示“authorization type cannot be set to "basic", use "basic_auth" instead”。我需要先理解这个错误的具体原因,然后给出相应的解决方案。 首先,回顾之前的对话,用户之前遇到的错误是因为在较新版本的Prometheus中,`basic_auth`被替换为`authorization`字段,并需要指定类型。现在这个错误看起来像是用户可能已经按照之前的建议修改了配置文件,但可能类型设置不正确,或者版本兼容性问题。 错误信息明确指出,不能将authorization的type设置为"basic",应该使用"basic_auth"。这可能意味着用户在新的配置中使用了`authorization`块,并将type设为"basic",但Prometheus期望的是另一种格式。例如,在较新的版本中,可能已经弃用了这种设置方式,或者用户混淆了不同版本的配置语法。 接下来,我需要确定Prometheus版本之间的配置差异。之前的回答提到v2.24+版本对认证进行了重构,但可能用户现在使用的版本更高,或者存在其他变化。例如,在某些版本中,可能要求使用`basic_auth`而不是在`authorization`中设置类型为"basic"。 可能的解决方案包括检查当前的Prometheus版本,确认其支持的配置语法,然后调整配置文件。例如,如果用户使用的是较新的版本,可能需要将`authorization`替换回`basic_auth`,或者调整类型为"Basic"(注意大小写),或者可能需要使用不同的结构。 还需要考虑YAML格式的正确性,例如缩进是否正确,字段是否在正确的位置。此外,检查是否有拼写错误,比如将`Basic`写成小写的"basic",这可能导致解析错误。 可能的步骤包括: 1. 确认Prometheus版本,以确定正确的配置语法。 2. 根据版本调整配置文件,将`authorization`的type改为正确的值,或者改用`basic_auth`。 3. 检查YAML语法是否正确,缩进是否正确。 4. 建议用户使用`promtool`检查配置文件。 5. 提供正确配置示例,帮助用户修改。 同时需要确保用户理解不同版本之间的配置差异,并指导他们查阅官方文档以获取最新的配置说明。可能用户混淆了不同版本的配置方式,或者升级后未正确更新配置文件。</think>您遇到的配置错误反映了Prometheus版本与配置语法的版本冲突,以下是详细解决方案框架: $$ \text{版本适配关系} = \begin{cases} \text{v2.24-2.33} & \Rightarrow authorization.type=Basic \\ \text{v2.34+} & \Rightarrow basic\_auth \text{语法回归} \end{cases} $$ ### 错误根源分析 错误信息明确显示**类型定义与字段选择不匹配**: ```bash "authorization type cannot be set to 'basic', use 'basic_auth' instead" ``` 这说明当前同时存在两种冲突配置: 1. 使用了`authorization`配置块 2. 试图在该块中设置`type: basic` ### 修正步骤说明 #### 第一步:确认Prometheus版本 执行版本检测命令: ```bash ./prometheus --version ``` - 若版本号为`2.34+`,使用`basic_auth`语法 - 若版本号为`2.24-2.33`,使用`authorization`语法 #### 第二步:配置文件改造 **Case 1:当版本≥2.34时**(当前推荐方案) ```yaml scrape_configs: - job_name: 'app_metrics' basic_auth: # 新版恢复的字段 username: monitor_user password: "s3cr3tP@ss" scheme: https ``` **Case 2:当版本=2.24~2.33时**(历史过渡方案) ```yaml scrape_configs: - job_name: 'app_metrics' authorization: # 短命过渡方案 type: Basic # 注意首字母大写 credentials: "dXNlcm5hbWU6cGFzc3dvcmQ=" # base64编码格式 ``` #### 第三步:格式验证 通过工具链进行双重验证: ```bash # 语法格式检查 yamllint prometheus.yml # 配置逻辑校验(需promtool工具) ./promtool check config prometheus.yml ``` ### 版本兼容对照表 | Prometheus版本 | 有效配置方式 | 认证类型标识 | |---------------|--------------------------|------------------| | ≤2.23 | `basic_auth` | 自动识别 | | 2.24-2.33 | `authorization.type` | Basic/Bearer | | ≥2.34 | `basic_auth`(重新引入) | 隐式Basic认证 | ### 典型配置示例 ```yaml # 适用于v2.34+的完整配置片段 scrape_configs: - job_name: 'k8s_nodes' metrics_path: '/metrics' scheme: https basic_auth: username: cluster_monitor password_file: /etc/secrets/prometheus_pass tls_config: insecure_skip_verify: true # 如需忽略证书验证 ``` 建议始终参考[官方配置文档](https://prometheus.io/docs/prometheus/latest/configuration/configuration/#scrape_config)获取最新语法规范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hunter_Jun

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值