强化

当您从 permissive 转为 strict 安全模式. 时，您的群集将变得更加安全。但是，有许多设置可以独立于安全模式进行修改，以提高群集的安全性。

• 确保根据 [保护群集] 的信息设置网络。(/mesosphere/dcos/cn/1.13/administering-clusters/securing-your-cluster/).

• 设置 auth_cookie_secure_flag 为 true.

• 不要使用默认 ZooKeeper 凭据。相反，为以下各项指定长的随机值：zk_super_credentials、zk_master_credentials 和 zk_agent_credentials.

• 获取 DC/OS CA 的根证书 并手动配置 浏览器、DC/OS CLI、curl 和其他客户端。

• 即使在可选的情况下，也可以使用服务帐户配置服务.

• 使用密匙来存储敏感信息并将其传递给服务.

• 使用空间来限制对密匙的服务访问.

• 严格限制 SSH 密钥的分发。对于调试，请考虑使用 [dcos task exec(/mesosphere/dcos/cn/1.13/monitoring/debugging/)

• 坚持最低权限原则，并为您的用户提供他们所需的最低权限 避免授予用户或服务帐户 dcos:superuser 权限。

• 如果配置外部 LDAP 目录，请选择对所有连接使用 SSL/TLS或 **尝试 StarTtLS，如果失败则中止，并在 CA certificate chain (Optional) 字段中提供根 CA 根证书以及 LDAP 目录服务器的任何中间证书。

• 覆盖服务的 Linux 用户帐户以使用权限较低的帐户，如 nobody.