当您从 permissive
转为 strict
安全模式. 时,您的群集将变得更加安全。但是,有许多设置可以独立于安全模式进行修改,以提高群集的安全性。
-
确保根据 [保护群集] 的信息设置网络。(/mesosphere/dcos/cn/2.1/administering-clusters/securing-your-cluster/).
-
设置
auth_cookie_secure_flag
为true
. -
不要使用默认 ZooKeeper 凭据。相反,为以下各项指定长的随机值:
zk_super_credentials
、zk_master_credentials
和zk_agent_credentials
. -
获取 DC/OS CA 的根证书 并手动配置 浏览器、DC/OS CLI、curl 和其他客户端。
-
严格限制 SSH 密钥的分发。对于调试,请考虑使用 [
dcos task exec
(/mesosphere/dcos/cn/2.1/monitoring/debugging/) -
如果配置外部 LDAP 目录,请选择对所有连接使用 SSL/TLS或 **尝试 StarTtLS,如果失败则中止,并在 CA certificate chain (Optional) 字段中提供根 CA 根证书以及 LDAP 目录服务器的任何中间证书。
-
覆盖服务的 Linux 用户帐户以使用权限较低的帐户,如
nobody
. -
通过在 config.yml 中 设置 exhibitor_tls_required 为
true
来加强 Exhibitor 服务安全性。如果您的集群已部署,则 Exhibitor 安全性可以 手动启用。