前言
一年一度的 HW 行動開始了,最近也是被各種安全漏洞搞的特別鬧心,一週能收到幾十封安全團隊掃描出來的漏洞郵件,這其中有一類漏洞很容易被人忽視,但影響面卻極廣,危害也極大,我說出它的名字你應該也不會感到陌生,正是 Spring Boot Actuator 。
寫這篇文章前,我跟我的朋友做了一個小調查,問他們對 Spring Boot Actuator 的瞭解,結果驚人的一致,大家都知道 Spring Boot 提供了 spring-boot-starter-actuator 的自動配置,但卻很少有人真正用到它相關的特性。在繼續往下面看這篇文章時,大家也可以先思考下幾個問題:
-
檢查下你開發的項目中有引入 spring-boot-starter-actuator依賴嗎? -
你在項目中有真正用到 spring-boot-starter-actuator的有關功能嗎? -
你知道 spring-boot-starter-actuator的安全風險和正確配置方式嗎?
Spring Boot Actuator 是什麼?
好久沒翻過 spring 的文檔了,爲了解釋這個還算陌生的名詞 Actutor [ˈæktjuˌeɪtər],我特地去翻了下它的文檔,找到了官方的定義
Definition of Actuator
An actuator is a manufacturing term that refers to a mechanical device for moving or controlling something. Actuators can generate a large amount of motion from a small change.
好傢伙,看了等於白看,以我 CET-6 的水平,理解這段話着實有點難度,希望能有英語比較好的同學幫我翻譯下。只能按照我個人對 Spring Boot Actuator 功能的理解來意譯下了:我們可以藉助於 Spring Boot Actuator 來對 Spring Boot 應用的健康狀態、環境配置、Metrics、Trace、Spring 上下文等信息進行查看,除了一系列查看功能之外,它還實現了 Spring Boot 應用的上下線和內存 dump 功能。
Quick Start
第一步 引入依賴
tips:spring-boot-starter-actuator 在不同版本 Spring Boot 中有一定的配置差異,本文采用的是目前最新的 2.4.4 版本
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
<version>2.4.4</version>
</dependency>
第二步 瞭解 endpoint
endpoint 是我們使用 Spring Boot Actuator 最需要關心的對象,列舉一些你可能感興趣的 endpoint
| ID | Description |
|---|---|
| beans | 查看 Spring 容器中的所有對象 |
| configprops | 查看被 @ConfigurationProperties 修飾的對象列表 |
| env | 查看 application.yaml 配置的環境配置信息 |
| health | 健康檢查端點 |
| info | 應用信息 |
| metrics | 統計信息 |
| mappings | 服務契約 @RequestMapping 相關的端點 |
| shutdown | 優雅下線 |
例如 health,只需要訪問如下 endpoint 即可獲取應用的狀態
curl "localhost:8080/actuator/health"
第三步 瞭解 endpoint 的 enable 和 exposure 狀態
Spring Boot Actuator 針對於所有 endpoint 都提供了兩種狀態的配置
-
enabled 啓用狀態。默認情況下除了 shutdown之外,其他 endpoint 都是啓用狀態。這也很好理解,其他 endpoint 基本都是查看行爲,shutdown 卻會影響應用的運行狀態。 -
exposure 暴露狀態。endpoint 的 enabled 設置爲 true 後,還需要暴露一次,才能夠被訪問,默認情況下只有 health 和 info 是暴露的。
enabled 不啓用時,相關的 endpoint 的代碼完全不會被 Spring 上下文加載,所以 enabled 爲 false 時,exposure 配置了也無濟於事。
幾個典型的配置示例如下
啓用並暴露所有 endpoint
management:
endpoints:
web:
exposure:
include: "*"
endpoint:
shutdown:
enabled: true
只啓用並暴露指定 endpoint
management:
endpoints:
enabled-by-default: false
endpoint:
info:
enabled: true
endpoints:
web:
exposure:
include: "info"
禁用所有 endpoint
management:
endpoints:
enabled-by-default: false
或者,去除掉 spring-boot-starter-actuator 依賴!
瞭解 Spring Boot Actuator 的安全風險
從上文的介紹可知,有一些 Spring Boot Actuator 提供的 endpoint 是會將應用重要的信息暴露出去的,以 env 爲例來感受下一個典型的 application.yaml 的示例。
server:
port: 8080
spring:
datasource:
url: jdbc:mysql://testDbHost:3306/kirito
username: kirito
password: 123456
kirito:
ak: kirito@xxx_ak
sk: kirito@xxx_sk
management:
endpoints:
web:
exposure:
include: "*"
上面的配置再經典不過,我們看看訪問 localhost:8080/actuator/env 之後的返回值
{
"activeProfiles": [],
"propertySources": [
{
"name": "server.ports",
"properties": {
"local.server.port": {
"value": 8080
}
}
},
{
"name": "Config resource 'class path resource [application.yaml]' via location 'optional:classpath:/'",
"properties": {
"server.port": {
"value": 8080,
"origin": "class path resource [application.yaml] - 2:9"
},
"spring.datasource.url": {
"value": "jdbc:mysql://testDbHost:3306/kirito",
"origin": "class path resource [application.yaml] - 5:44"
},
"spring.datasource.username": {
"value": "kirito",
"origin": "class path resource [application.yaml] - 6:15"
},
"spring.datasource.password": {
"value": "******",
"origin": "class path resource [application.yaml] - 7:15"
},
"kirito.ak": {
"value": "kirito@xxx_ak",
"origin": "class path resource [application.yaml] - 10:7"
},
"kirito.sk": {
"value": "kirito@xxx_sk",
"origin": "class path resource [application.yaml] - 11:7"
},
"management.endpoints.web.exposure.include": {
"value": "*",
"origin": "class path resource [application.yaml] - 17:18"
}
}
}
]
}
可以發現,對於內置的敏感配置信息 spring.datasource.password,Spring Boot Actuator 是進行了脫敏的,但是對於自定義的一些敏感配置,如 kirito.ak 和 kirito.sk 卻被暴露出來了。
可能有的讀者會立馬提出質疑:我們的機器都部署內網,並且一般都是通過反向代理對外暴露的服務,這類 endpoint 是不會被外部用戶訪問到的。那我只能說太天真了,例如以下情況都是導致安全漏洞的真實 case:
-
反向代理誤配置了根節點,將 actuator 的 endpoint 和 web 服務一起暴露了出去 -
線上配置沒問題,測試環境部署時開通了公網 SLB,導致 actuator 的 endpoint 暴露了出去 -
同一環境中某臺機器被攻陷,導致應用配置信息泄露
安全建議
針對 Spring Boot Actuator 提供的 endpoint,採取以下幾種措施,可以儘可能降低被安全攻擊的風險
-
最小粒度暴露 endpoint。只開啓並暴露真正用到的 endpoint,而不是配置: management.endpoints.web.exposure.include=*。 -
爲 endpoint 配置獨立的訪問端口,從而和 web 服務的端口分離開,避免暴露 web 服務時,誤將 actuator 的 endpoint 也暴露出去。例: management.port=8099。 -
引入 spring-boot-starter-security依賴,爲 actuator 的 endpoint 配置訪問控制。 -
慎重評估是否需要引入 spring-boot-stater-actuator。以我個人的經驗,我至今還沒有遇到什麼需求是一定需要引入spring-boot-stater-actuator才能解決,如果你並不瞭解上文所述的安全風險,我建議你先去除掉該依賴。
今天,你使用 Spring Boot Actuator 了嗎?
- END -
「技術分享」某種程度上,是讓作者和讀者,不那麼孤獨的東西。歡迎關注我的微信公衆號:「Kirito的技術分享」
本文分享自微信公衆號 - Kirito的技術分享(cnkirito)。
如有侵權,請聯繫 [email protected] 刪除。
本文參與“OSC源創計劃”,歡迎正在閱讀的你也加入,一起分享。