销售网站开发的背景,国内网页设计公司前十名,页面设计要点,做效果图需要什么软件在微服务架构中#xff0c;服务的注册与发现扮演着至关重要的角色。Nacos#xff08;Naming and Configuration Service#xff09;是阿里巴巴开源的服务注册与发现组件#xff0c;致力于支持动态配置管理和服务发现。最近#xff0c;一位朋友表达了对搭建一套Nacos开发环…在微服务架构中服务的注册与发现扮演着至关重要的角色。NacosNaming and Configuration Service是阿里巴巴开源的服务注册与发现组件致力于支持动态配置管理和服务发现。最近一位朋友表达了对搭建一套Nacos开发环境的兴趣。先前我们曾发布了一篇有关在Linux上直接部署Nacos的文章标题为《Linux下部署Nacos单机、集群》。如有兴趣的读者可以前往查阅。
值得注意的是今天我们在生产环境中扫描出一个关于Nacos的安全漏洞。在本文中我们将详细介绍如何利用Docker-compose快速构建Nacos服务并分享修复Nacos漏洞的方法以确保您的微服务架构拥有可靠的服务注册与发现功能。 部署Nacos
Nacos官方文档中也提供了关于使用Docker部署的详细介绍对这方面感兴趣的读者们可以前往查阅。我么在本文中将以2.3.0版本为例部署。
github地址https://github.com/nacos-group/nacos-docker
nacos github 地址https://github.com/alibaba/nacos
文档地址https://nacos.io/zh-cn/docs/v2/quickstart/quick-start-docker.html
第一步创建mysql的数据库表
因为我们已经有mysql数据库了所以此处我们只需要创建数据库导入数据即可。对应数据库文件可在nacos github中根据自己的版本去copy,我们此处部署的2.3.0所以我们是直接复制如下文件运行的 我们直接将这个sql文本贴到此处部署2.3.0的朋友们也不用去下载了
nacos-db.sql
/** Copyright 1999-2018 Alibaba Group Holding Ltd.** Licensed under the Apache License, Version 2.0 (the License);* you may not use this file except in compliance with the License.* You may obtain a copy of the License at** http://www.apache.org/licenses/LICENSE-2.0** Unless required by applicable law or agreed to in writing, software* distributed under the License is distributed on an AS IS BASIS,* WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.* See the License for the specific language governing permissions and* limitations under the License.*//******************************************/
/* 数据库全名 nacos_config */
/* 表名称 config_info */
/******************************************/
CREATE TABLE config_info (id bigint(20) NOT NULL AUTO_INCREMENT COMMENT id,data_id varchar(255) NOT NULL COMMENT data_id,group_id varchar(128) DEFAULT NULL,content longtext NOT NULL COMMENT content,md5 varchar(32) DEFAULT NULL COMMENT md5,gmt_create datetime NOT NULL DEFAULT 2010-05-05 00:00:00 COMMENT 创建时间,gmt_modified datetime NOT NULL DEFAULT 2010-05-05 00:00:00 COMMENT 修改时间,src_user text COMMENT source user,src_ip varchar(20) DEFAULT NULL COMMENT source ip,app_name varchar(128) DEFAULT NULL,tenant_id varchar(128) DEFAULT COMMENT 租户字段,c_desc varchar(256) DEFAULT NULL,c_use varchar(64) DEFAULT NULL,effect varchar(64) DEFAULT NULL,type varchar(64) DEFAULT NULL,c_schema text,encrypted_data_key text NOT NULL COMMENT 密钥,PRIMARY KEY (id),UNIQUE KEY uk_configinfo_datagrouptenant (data_id,group_id,tenant_id)
) ENGINEInnoDB DEFAULT CHARSETutf8 COLLATEutf8_bin COMMENTconfig_info;/******************************************/
/* 数据库全名 nacos_config */
/* 表名称 config_info_aggr */
/******************************************/
CREATE TABLE config_info_aggr (id bigint(20) NOT NULL AUTO_INCREMENT COMMENT id,data_id varchar(255) NOT NULL COMMENT data_id,group_id varchar(128) NOT NULL COMMENT group_id,datum_id varchar(255) NOT NULL COMMENT datum_id,content longtext NOT NULL COMMENT 内容,gmt_modified datetime NOT NULL COMMENT 修改时间,app_name varchar(128) DEFAULT NULL,tenant_id varchar(128) DEFAULT COMMENT 租户字段,PRIMARY KEY (id),UNIQUE KEY uk_configinfoaggr_datagrouptenantdatum (data_id,group_id,tenant_id,datum_id)
) ENGINEInnoDB DEFAULT CHARSETutf8 COLLATEutf8_bin COMMENT增加租户字段;/******************************************/
/* 数据库全名 nacos_config */
/* 表名称 config_info_beta */
/******************************************/
CREATE TABLE config_info_beta (id bigint(20) NOT NULL AUTO_INCREMENT COMMENT id,data_id varchar(255) NOT NULL COMMENT data_id,group_id varchar(128) NOT NULL COMMENT group_id,app_name varchar(128) DEFAULT NULL COMMENT app_name,content longtext NOT NULL COMMENT content,beta_ips varchar(1024) DEFAULT NULL COMMENT betaIps,md5 varchar(32) DEFAULT NULL COMMENT md5,gmt_create datetime NOT NULL DEFAULT 2010-05-05 00:00:00 COMMENT 创建时间,gmt_modified datetime NOT NULL DEFAULT 2010-05-05 00:00:00 COMMENT 修改时间,src_user text COMMENT source user,src_ip varchar(20) DEFAULT NULL COMMENT source ip,tenant_id varchar(128) DEFAULT COMMENT 租户字段,encrypted_data_key text NOT NULL COMMENT 密钥,PRIMARY KEY (id),UNIQUE KEY uk_configinfobeta_datagrouptenant (data_id,group_id,tenant_id)
) ENGINEInnoDB DEFAULT CHARSETutf8 COLLATEutf8_bin COMMENTconfig_info_beta;/******************************************/
/* 数据库全名 nacos_config */
/* 表名称 config_info_tag */
/******************************************/
CREATE TABLE config_info_tag (id bigint(20) NOT NULL AUTO_INCREMENT COMMENT id,data_id varchar(255) NOT NULL COMMENT data_id,group_id varchar(128) NOT NULL COMMENT group_id,tenant_id varchar(128) DEFAULT COMMENT tenant_id,tag_id varchar(128) NOT NULL COMMENT tag_id,app_name varchar(128) DEFAULT NULL COMMENT app_name,content longtext NOT NULL COMMENT content,md5 varchar(32) DEFAULT NULL COMMENT md5,gmt_create datetime NOT NULL DEFAULT 2010-05-05 00:00:00 COMMENT 创建时间,gmt_modified datetime NOT NULL DEFAULT 2010-05-05 00:00:00 COMMENT 修改时间,src_user text COMMENT source user,src_ip varchar(20) DEFAULT NULL COMMENT source ip,PRIMARY KEY (id),UNIQUE KEY uk_configinfotag_datagrouptenanttag (data_id,group_id,tenant_id,tag_id)
) ENGINEInnoDB DEFAULT CHARSETutf8 COLLATEutf8_bin COMMENTconfig_info_tag;/******************************************/
/* 数据库全名 nacos_config */
/* 表名称 config_tags_relation */
/******************************************/
CREATE TABLE config_tags_relation (id bigint(20) NOT NULL COMMENT id,tag_name varchar(128) NOT NULL COMMENT tag_name,tag_type varchar(64) DEFAULT NULL COMMENT tag_type,data_id varchar(255) NOT NULL COMMENT data_id,group_id varchar(128) NOT NULL COMMENT group_id,tenant_id varchar(128) DEFAULT COMMENT tenant_id,nid bigint(20) NOT NULL AUTO_INCREMENT,PRIMARY KEY (nid),UNIQUE KEY uk_configtagrelation_configidtag (id,tag_name,tag_type),KEY idx_tenant_id (tenant_id)
) ENGINEInnoDB DEFAULT CHARSETutf8 COLLATEutf8_bin COMMENTconfig_tag_relation;/******************************************/
/* 数据库全名 nacos_config */
/* 表名称 group_capacity */
/******************************************/
CREATE TABLE group_capacity (id bigint(20) unsigned NOT NULL AUTO_INCREMENT COMMENT 主键ID,group_id varchar(128) NOT NULL DEFAULT COMMENT Group ID空字符表示整个集群,quota int(10) unsigned NOT NULL DEFAULT 0 COMMENT 配额0表示使用默认值,usage int(10) unsigned NOT NULL DEFAULT 0 COMMENT 使用量,max_size int(10) unsigned NOT NULL DEFAULT 0 COMMENT 单个配置大小上限单位为字节0表示使用默认值,max_aggr_count int(10) unsigned NOT NULL DEFAULT 0 COMMENT 聚合子配置最大个数0表示使用默认值,max_aggr_size int(10) unsigned NOT NULL DEFAULT 0 COMMENT 单个聚合数据的子配置大小上限单位为字节0表示使用默认值,max_history_count int(10) unsigned NOT NULL DEFAULT 0 COMMENT 最大变更历史数量,gmt_create datetime NOT NULL DEFAULT 2010-05-05 00:00:00 COMMENT 创建时间,gmt_modified datetime NOT NULL DEFAULT 2010-05-05 00:00:00 COMMENT 修改时间,PRIMARY KEY (id),UNIQUE KEY uk_group_id (group_id)
) ENGINEInnoDB DEFAULT CHARSETutf8 COLLATEutf8_bin COMMENT集群、各Group容量信息表;/******************************************/
/* 数据库全名 nacos_config */
/* 表名称 his_config_info */
/******************************************/
CREATE TABLE his_config_info (id bigint(64) unsigned NOT NULL,nid bigint(20) unsigned NOT NULL AUTO_INCREMENT,data_id varchar(255) NOT NULL,group_id varchar(128) NOT NULL,app_name varchar(128) DEFAULT NULL COMMENT app_name,content longtext NOT NULL,md5 varchar(32) DEFAULT NULL,gmt_create datetime NOT NULL DEFAULT 2010-05-05 00:00:00,gmt_modified datetime NOT NULL DEFAULT 2010-05-05 00:00:00,src_user text,src_ip varchar(20) DEFAULT NULL,op_type char(10) DEFAULT NULL,tenant_id varchar(128) DEFAULT COMMENT 租户字段,encrypted_data_key text NOT NULL COMMENT 密钥,PRIMARY KEY (nid),KEY idx_gmt_create (gmt_create),KEY idx_gmt_modified (gmt_modified),KEY idx_did (data_id)
) ENGINEInnoDB DEFAULT CHARSETutf8 COLLATEutf8_bin COMMENT多租户改造;/******************************************/
/* 数据库全名 nacos_config */
/* 表名称 tenant_capacity */
/******************************************/
CREATE TABLE tenant_capacity (id bigint(20) unsigned NOT NULL AUTO_INCREMENT COMMENT 主键ID,tenant_id varchar(128) NOT NULL DEFAULT COMMENT Tenant ID,quota int(10) unsigned NOT NULL DEFAULT 0 COMMENT 配额0表示使用默认值,usage int(10) unsigned NOT NULL DEFAULT 0 COMMENT 使用量,max_size int(10) unsigned NOT NULL DEFAULT 0 COMMENT 单个配置大小上限单位为字节0表示使用默认值,max_aggr_count int(10) unsigned NOT NULL DEFAULT 0 COMMENT 聚合子配置最大个数,max_aggr_size int(10) unsigned NOT NULL DEFAULT 0 COMMENT 单个聚合数据的子配置大小上限单位为字节0表示使用默认值,max_history_count int(10) unsigned NOT NULL DEFAULT 0 COMMENT 最大变更历史数量,gmt_create datetime NOT NULL DEFAULT 2010-05-05 00:00:00 COMMENT 创建时间,gmt_modified datetime NOT NULL DEFAULT 2010-05-05 00:00:00 COMMENT 修改时间,PRIMARY KEY (id),UNIQUE KEY uk_tenant_id (tenant_id)
) ENGINEInnoDB DEFAULT CHARSETutf8 COLLATEutf8_bin COMMENT租户容量信息表;CREATE TABLE tenant_info (id bigint(20) NOT NULL AUTO_INCREMENT COMMENT id,kp varchar(128) NOT NULL COMMENT kp,tenant_id varchar(128) default COMMENT tenant_id,tenant_name varchar(128) default COMMENT tenant_name,tenant_desc varchar(256) DEFAULT NULL COMMENT tenant_desc,create_source varchar(32) DEFAULT NULL COMMENT create_source,gmt_create bigint(20) NOT NULL COMMENT 创建时间,gmt_modified bigint(20) NOT NULL COMMENT 修改时间,PRIMARY KEY (id),UNIQUE KEY uk_tenant_info_kptenantid (kp,tenant_id),KEY idx_tenant_id (tenant_id)
) ENGINEInnoDB DEFAULT CHARSETutf8 COLLATEutf8_bin COMMENTtenant_info;CREATE TABLE users (username varchar(50) NOT NULL PRIMARY KEY,password varchar(500) NOT NULL,enabled boolean NOT NULL
);CREATE TABLE roles (username varchar(50) NOT NULL,role varchar(50) NOT NULL,constraint uk_username_role UNIQUE (username,role)
);CREATE TABLE permissions (role varchar(50) NOT NULL,resource varchar(512) NOT NULL,action varchar(8) NOT NULL,constraint uk_role_permission UNIQUE (role,resource,action)
);INSERT INTO users (username, password, enabled) VALUES (nacos, $2a$10$EuWPZHzz32dJN7jexM34MOeYirDdFAZm2kuWj7VEOJhhZkDrxfvUu, TRUE);INSERT INTO roles (username, role) VALUES (nacos, ROLE_ADMIN);第二步创建docker-compose.yml文件
首先我们创建一个Nacos的部署目录 nacos,在目录nacos 下创建一个 docker-compose.yml 文件内容如下
version: 3.8
services:nacos:image: nacos/nacos-server:v2.3.0container_name: nacos-standalone-mysqlenv_file:- ./nacos-standlone-mysql.envvolumes:- ./standalone-logs/:/home/nacos/logsports:- 8848:8848- 9848:9848restart: always创建nacos-standlone-mysql.env 文件
PREFER_HOST_MODE192.168.10.106
MODEstandalone
SPRING_DATASOURCE_PLATFORMmysql
MYSQL_SERVICE_HOST192.168.10.106
MYSQL_SERVICE_DB_NAMEnacos
MYSQL_SERVICE_PORT3306
MYSQL_SERVICE_USERroot
MYSQL_SERVICE_PASSWORD123456
MYSQL_SERVICE_DB_PARAMcharacterEncodingutf8connectTimeout1000socketTimeout3000autoReconnecttrueuseUnicodetrueuseSSLfalseserverTimezoneAsia/ShanghaiallowPublicKeyRetrievaltrue
NACOS_AUTH_IDENTITY_KEYxiuji
NACOS_AUTH_IDENTITY_VALUExiuji2024
NACOS_AUTH_ENABLEtrue
NACOS_AUTH_TOKENMTQ3NmViZDctOTJiNC00MmZmLWJhNmItMjA4MzA3ZTUyYmZj注 nacos镜像版本前边有个v,比如 v2.3.0对应的是nacos2.3.0 版本。 NACOS_AUTH_ENABLEtrue开启权限系统
2.2.2版本之前的Nacos默认控制台无论服务端是否开启鉴权都会存在一个登录页这导致很多用户被误导认为Nacos默认是存在鉴权的。在社区安全工程师的建议下Nacos自2.2.2版本开始在未开启鉴权时默认控制台将不需要登录即可访问同时在控制台中给予提示提醒用户当前集群未开启鉴权。
NACOS_AUTH_TOKENMTQ3NmViZDctOTJiNC00MmZmLWJhNmItMjA4MzA3ZTUyYmZj
NACOS_AUTH_TOKEN也就是nacos配置文件中的nacos.core.auth.plugin.nacos.token.secret.key nacos.core.auth.plugin.nacos.token.secret.keySecretKey012345678901234567890123456789012345678901234567890123456789(2.2.0.1后无默认值)这个值我们如果部署的是2.2.0.1 之前版本的话需要修改这个默认值不然会有安全漏洞文章后便我们会介绍。
公用属性配置如下表所示
属性名称描述选项MODE系统启动方式: 集群/单机cluster/standalone默认 clusterNACOS_SERVERS集群地址p1:port1空格ip2:port2 空格ip3:port3PREFER_HOST_MODE支持IP还是域名模式hostname/ip 默认 ipNACOS_SERVER_PORTNacos 运行端口默认 8848NACOS_SERVER_IP多网卡模式下可以指定IPSPRING_DATASOURCE_PLATFORM单机模式下支持MYSQL数据库mysql / 空 默认:空MYSQL_SERVICE_HOST数据库 连接地址MYSQL_SERVICE_PORT数据库端口默认 : 3306MYSQL_SERVICE_DB_NAME数据库库名MYSQL_SERVICE_USER数据库用户名MYSQL_SERVICE_PASSWORD数据库用户密码MYSQL_SERVICE_DB_PARAM数据库连接参数default : characterEncodingutf8connectTimeout1000socketTimeout3000autoReconnecttrueuseSSLfalseMYSQL_DATABASE_NUM数据库编号默认 :1JVM_XMS-Xms默认 :1gJVM_XMX-Xmx默认 :1gJVM_XMN-Xmn默认 :512mJVM_MS-XX:MetaspaceSize默认 :128mJVM_MMS-XX:MaxMetaspaceSize默认 :320mNACOS_DEBUG是否开启远程DEBUGy/n 默认 :nTOMCAT_ACCESSLOG_ENABLEDserver.tomcat.accesslog.enabled默认 :falseNACOS_AUTH_SYSTEM_TYPE权限系统类型选择,目前只支持nacos类型默认 :nacosNACOS_AUTH_ENABLE是否开启权限系统默认 :falseNACOS_AUTH_TOKEN_EXPIRE_SECONDStoken 失效时间默认 :18000NACOS_AUTH_TOKENtoken默认 :SecretKey012345678901234567890123456789012345678901234567890123456789(2.2.0.1后无默认值)NACOS_AUTH_CACHE_ENABLE权限缓存开关 ,开启后权限缓存的更新默认有15秒的延迟默认 : falseMEMBER_LIST通过环境变量的方式设置集群地址例子:192.168.16.101:8847?raft_port8807,192.168.16.101?raft_port8808,192.168.16.101:8849?raft_port8809EMBEDDED_STORAGE是否开启集群嵌入式存储模式embedded 默认 : noneNACOS_AUTH_CACHE_ENABLEnacos.core.auth.caching.enableddefault : falseNACOS_AUTH_USER_AGENT_AUTH_WHITE_ENABLEnacos.core.auth.enable.userAgentAuthWhitedefault : falseNACOS_AUTH_IDENTITY_KEYnacos.core.auth.server.identity.keydefault : serverIdentityNACOS_AUTH_IDENTITY_VALUEnacos.core.auth.server.identity.valuedefault : securityNACOS_SECURITY_IGNORE_URLSnacos.security.ignore.urlsdefault : /,/error,/**/*.css,/**/*.js,/**/*.html,/**/*.map,/**/*.svg,/**/*.png,/**/*.ico,/console-fe/public/**,/v1/auth/**,/v1/console/health/**,/actuator/**,/v1/console/server/**
第三步启动服务
在docker-compose.yml统计目录下执行如下命令启动容器
docker-compose up -d 查看容器启动日志
docker-compose logs -f 如下所示则启动无异常 第四步访问服务
在浏览器中输入地址访问服务我此处是 http://192.168.10.106:8848/nacos我此处开启了鉴权使用默认用户名和默认密码 登录
默认用户名nacos默认密码 nacos 登录之后我们先修改密码然后就可以使用nacos了 Nacos 默认密钥漏洞(CNVD-2023-17316)
Nacos存在默认的密钥SecretKey012345678901234567890123456789012345678901234567890123456789当用户开启服务端鉴权并且未修改默认密钥的情况下攻击者可以利用该密钥生成登录凭证从而访问Nacos服务端获取敏感信息。
解决方案 建议升级Nacos到2.2.0.1及以上的版本。
对于生产环境升级版本尤其是大版本的升级风险较大若需升级版本的话需谨慎对待
建议修改默认的密钥。
我们如果是docker部署则将NACOS_AUTH_TOKENSecretKey012345678901234567890123456789012345678901234567890123456789 修改为我们自定义的值重启服务即可
如果是在Linux直接部署的则修改nacos.core.auth.plugin.nacos.token.secret.key的值之后重启服务即可。
官网文档描述地址https://nacos.io/zh-cn/docs/v2/guide/user/auth.html
官网文档描述如下 每日闲谈
最近下班后我喜欢在空闲时翻阅一些书籍。昨天看到《明朝那些事儿》中的一句话给予我深刻的启示“上天是很公平的它会将不同的天赋赋予不同的人有人擅长这些有人擅长那些这才构成了我们这个多姿多彩的世界。” 这句话引发了我对生活的一番反思虽然每个人的努力都至关重要但天赋的存在也不可忽视。我们常常在某些方面崇拜或者追逐他人的成就却未能取得相应的效果往往导致怨天尤人的情绪同时可能也忽略了自己在其他方面的擅长。
象棋领域的第一人王天一在一次演讲中也传递了类似的观点他说“无我天赋学我无用。” 人生是独一无二的不可复制的因此我们应该以一种包容的心态来看待自己和这个世界不断努力朝着设定的目标前行。就像书中所言生命的多样性构成了这个世界的丰富多彩我们应当珍视自身的独特才能以积极的心态迎接生活坚定追寻自己的梦想。
