正确的访问 Nacos

in 工作记录 with 0 comment

Nacos 和一些工具,有 Web 控制台,但不适合暴露在公网,毕竟很容易出现较大的安全风险,如果正确的,简单的去访问呢?

如此简单的问题,有个跳板机(堡垒机)不就好了?

可是小公司,还真没有跳板机,毕竟也是要钱的,一方面能省则省,一方面只有几个人用,想访问 Web又要带图形化,得是带宽高的机子。

最合适的方案可能是搭建 VPN 网络, 但是这个也是一样的,要台服务器。
可能公司稍大本身就有 VPN 网络办公机制, 但是小公司还是那个问题, 没有。

在 Local 访问服务器上某个端口, 利用 SSH 隧道就好 (SSH Tunnel),

我用的还是 MobaXterm。

SSH Tunnel 不在默认的 List 中, 你得自己调出来。

image.png

image.png

image.png

很简单的办法是吧?

但是搜索 "nacos 外网怎么访问" 之类的,却没有人提,难道的是我的需求太小众了?

还有很多人没有安全意识,直接说安全组放行,这是非常危险的!

我也是测试环境为了方便,直接公网放行了 Nacos,很快就被人扫到了,利用漏洞进来了。

我这边用的是 2.0.3 的版本, 可以说是安全毫无保障。

并且从修复历史来看, Nacos 基本可以说没考虑安全的事情, 一定别暴露在公网!

相关漏洞:
https://github.com/SexyBeast233/SecBooks/blob/main/%E3%80%90%E5%85%AC%E4%BC%97%E5%8F%B7%E6%96%87%E7%AB%A0%E3%80%91bugs/Nacos%E6%9D%83%E9%99%90%E7%BB%95%E8%BF%87.md

https://github.com/alibaba/nacos/issues/4593

不得不吐槽一句,即使不暴露在公网,内网中的人可以通过扫描的方式,找到内网中的 Nacos,然后轻易的进入 Nacos。

大公司内网也有完整的鉴权吧,或许可以规避,可是开源出来,用户使用上并感知不到这些安全问题,也没有任何的提示...

唉!