SUSE® Rancher Prime 安全最佳实践

上游（本地） Rancher 实例提供正在运行的 Rancher 版本和用于构建它的 Go 版本信息。这些信息可以通过 /version 路径访问，该路径用于诸如自动化版本升级或确认部署成功等任务。上游实例还提供了可通过 /rancherversion 路径访问的 Rancher 版本信息。

攻击者可能会滥用这些信息来识别正在运行的 Rancher 版本，并与潜在的漏洞相关联以进行利用。如果你的上游 Rancher 实例在网上是公开可访问的，请使用 7 层防火墙来阻止 /version 和 /rancherversion 路径。

更多关于保护服务器的详细信息，请参阅 OWASP Web Application Security Testing - Enumerate Infrastructure and Application Admin Interfaces。

某些环境可能需要额外的安全控制来管理会话。例如，你可能希望限制用户的并发活动会话或限制可以从哪些地理位置发起这些会话。Rancher 默认情况下不支持这些功能。

如果你需要此类功能，请将 7 层防火墙与外部认证结合使用。

You should protect the following ports behind an external load balancer that has SSL offload enabled:

These ports have TLS SAN certificates which list nodes' public IP addresses. An attacker could use that information to gain unauthorized access or monitor activity on the cluster. Protecting these ports helps mitigate against nodes' public IP addresses being disclosed to potential attackers.