TiDB中Prometheus未授权访问漏洞的四层纵深防御实战

1. 这个漏洞不是“能看指标”而是“能改配置、能删数据”的临界风险很多人看到“Prometheus未授权访问”第一反应是“不就是能看几个监控图表吗又不涉及业务数据修不修都行。”我去年在给一家中型电商做TiDB集群健康巡检时也这么想——直到用curl随手试了下/api/v1/admin/tsdb/snapshot接口三秒内拿到了一个完整的时间序列快照压缩包再试/api/v1/admin/tsdb/delete_series传了个空body返回200 OK最后点开/config页面发现Prometheus的remote_write目标地址、认证token明文躺在那里连base64都没做。那一刻后背发凉这不是监控泄露这是把数据库的“监控中枢神经”赤裸裸交到了外部。TiDB生态里Prometheus不是普通旁路组件它是TiDB Dashboard、TiUP、PD自动扩缩容、甚至部分告警策略的决策依据。一旦被攻破攻击者可伪造指标触发误扩容耗尽云资源、删除关键时间序列掩盖入侵痕迹、通过/api/v1/query反复执行高开销PromQL查询拖垮Prometheus进而影响整个TiDB集群的可观测性链路。更危险的是如果Prometheus与Alertmanager共用同一套基础认证或Alertmanager配置了inhibit_rules但未设访问控制未授权访问可能直接演变为告警静默或恶意告警注入。这个标题里的“修复”绝不是加个nginx basic auth就完事。它必须覆盖三个层面网络层隔离谁可以连、协议层加固连上了能做什么、配置层收敛最小权限原则。我见过太多团队只堵了/metrics路径却忘了/federate支持跨集群拉取、/api/v1/label可枚举所有标签值、/status暴露Go运行时信息——这些全是攻击面。本文不讲理论只说我们在线上真实跑通、压测过、且经受住红队打靶验证的四步闭环方案从漏洞复现定位、到网络策略落地、再到Prometheus原生能力启用、最后是TiDB侧联动加固。每一步都有命令、有配置、有验证方法你抄过去就能用。2. 漏洞复现与攻击面测绘先看清敌人长什么样2.1 三分钟快速验证是否存在未授权访问别急着改配置先确认你的环境是否真的“裸奔”。打开终端执行以下四条命令每条都代表一类典型攻击路径# 1. 基础指标读取最常见也是最容易被忽略的 curl -s http://prometheus-ip:9090/metrics | head -n 5 # 2. 元数据探测暴露监控对象拓扑 curl -s http://prometheus-ip:9090/api/v1/targets | jq .data.activeTargets[0].labels # 3. 时间序列快照可导出历史数据用于离线分析 curl -X POST http://prometheus-ip:9090/api/v1/admin/tsdb/snapshot | jq .data.name # 4. 配置文件读取暴露remote_write地址、token、job配置 curl -s http://prometheus-ip:9090/config | grep -E (remote_write|basic_auth|bearer_token)提示如果第1、2条返回非401/403状态码且含有效数据说明基础防护缺失第3条若返回200并生成snapshot名称说明admin API完全开放第4条若暴露出bearer_token: xxx或password: yyy则已构成高危风险。注意TiDB默认部署的Prometheus通常监听0.0.0.0:9090且未启用任何认证。我建议你在测试前先备份当前Prometheus配置cp /path/to/prometheus.yml /path/to/prometheus.yml.bak。很多团队在修复过程中因配置语法错误导致Prometheus无法启动而备份能让你30秒内回滚。2.2 深度攻击面测绘那些你以为关了其实还开着的接口Prometheus官方文档只列了公开API但实际暴露面远不止于此。我们用gobuster对TiDB默认Prometheus实例做了全路径爆破仅限内网测试发现以下12个高风险端点常被遗漏接口路径危险等级可利用行为TiDB默认状态/federate⚠️⚠️⚠️跨集群拉取任意指标可构造恶意query绕过单集群限制开放/api/v1/label/__name__/values⚠️⚠️枚举所有指标名为后续精准攻击提供字典开放/api/v1/series⚠️⚠️根据label组合查询原始时间序列可提取敏感业务指标开放/status⚠️暴露Go版本、Goroutine数、内存分配辅助DoS攻击开放/flags⚠️显示启动参数如--web.enable-admin-api是否开启开放注意/api/v1/admin/tsdb/*系列接口需--web.enable-admin-apitrue才可用但TiDB 5.4默认启用该参数。很多团队以为禁用/api/v1/admin就安全了实则只要enable-admin-api开着所有admin接口都可通过/api/v1/admin/...路径访问。验证方法curl -s http://ip:9090/status | grep enable-admin-api。2.3 TiDB特有风险点Dashboard与Prometheus的耦合陷阱TiDB Dashboardv5.3默认与Prometheus强绑定其底层依赖Prometheus的/api/v1/query_range接口获取指标。但问题在于Dashboard的登录认证和Prometheus的API访问控制是两套独立系统。我们曾遇到一个案例客户给Dashboard配置了LDAP登录却忘记给Prometheus加任何防护结果攻击者绕过Dashboard直连Prometheus的/api/v1/query_range?queryup不仅拿到所有TiDB节点存活状态还通过queryrate(tidb_server_query_total[1h])反推出近一小时SQL查询量峰值进而判断业务高峰期实施慢查询注入。更隐蔽的是TiUP部署场景。TiUP生成的prometheus.yml中scrape_configs下的static_configs常包含targets: [127.0.0.1:20080]PD metrics、[127.0.0.1:20180]TiKV metrics等本地地址。如果Prometheus监听0.0.0.0且无防火墙这些内部指标会全部暴露。验证命令curl -s http://ip:9090/api/v1/targets | jq .data.activeTargets[] | select(.labels.instance127.0.0.1:20080)。3. 四层纵深防御方案从网络到配置的硬核落地3.1 网络层用iptablesIP白名单实现第一道铁闸别迷信“内网很安全”。云环境里VPC内网流量可被同租户其他实例嗅探物理机房中管理网段也可能存在横向移动风险。我们必须假设网络层不可信用最小化IP白名单封死入口。核心思路只允许TiDB集群内部组件PD/TiKV/TiDB Server和指定运维跳板机访问Prometheus的9090端口其他一切拒绝。具体操作分三步第一步识别合法源IPTiDB集群内部组件通过tiup cluster display cluster-name查看各节点IP记下PD、TiKV、TiDB Server的IP列表运维跳板机确定你们团队统一使用的堡垒机或跳板机IP如10.10.5.100Dashboard服务如果Dashboard独立部署记下其所在机器IPTiDB 6.0 Dashboard默认集成在PD中无需额外添加。第二步编写iptables规则在Prometheus所在服务器执行以CentOS 7为例# 清空现有INPUT链谨慎确保已有SSH规则保留 sudo iptables -P INPUT ACCEPT sudo iptables -F INPUT # 允许本地回环 sudo iptables -A INPUT -i lo -j ACCEPT # 允许已建立连接 sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许SSH务必先加否则锁死 sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许TiDB集群内部组件访问9090替换为你的实际IP sudo iptables -A INPUT -p tcp -s 10.10.1.10 --dport 9090 -j ACCEPT # PD1 sudo iptables -A INPUT -p tcp -s 10.10.1.11 --dport 9090 -j ACCEPT # PD2 sudo iptables -A INPUT -p tcp -s 10.10.2.20 --dport 9090 -j ACCEPT # TiKV1 sudo iptables -A INPUT -p tcp -s 10.10.2.21 --dport 9090 -j ACCEPT # TiKV2 sudo iptables -A INPUT -p tcp -s 10.10.3.30 --dport 9090 -j ACCEPT # TiDB1 # 允许运维跳板机 sudo iptables -A INPUT -p tcp -s 10.10.5.100 --dport 9090 -j ACCEPT # 拒绝所有其他9090访问 sudo iptables -A INPUT -p tcp --dport 9090 -j DROP # 保存规则CentOS 7 sudo service iptables save提示如果你用的是云厂商的Security Group如阿里云安全组、AWS Security Group请在安全组中设置入方向规则源IP填上述白名单端口9090协议TCP。切勿在安全组中开放0.0.0.0/0。实测发现某客户因安全组配置疏忽导致Prometheus被境外IP高频扫描/federate接口最终触发云平台DDoS防护阈值。第三步验证规则生效# 查看当前iptables规则 sudo iptables -L INPUT -n --line-numbers # 从非白名单IP测试应超时或拒绝 curl -I http://prometheus-ip:9090/metrics # 从白名单IP测试应返回200 curl -s http://prometheus-ip:9090/metrics | head -n 13.2 协议层启用Prometheus原生Basic Auth不依赖反向代理很多人习惯用Nginx加basic auth但这引入了额外组件、TLS终止复杂度且Nginx日志可能暴露认证失败详情。Prometheus 2.24原生支持--web.basic-auth-file参数更轻量、更可控。生成密码文件使用htpasswd工具Apache自带# 安装Ubuntu/Debian sudo apt-get install apache2-utils # 生成密码文件创建用户monitor密码为your_secure_password sudo htpasswd -c /etc/prometheus/auth.htpasswd monitor修改Prometheus启动参数编辑Prometheus服务文件如/etc/systemd/system/prometheus.service[Unit] DescriptionPrometheus Afternetwork.target [Service] Typesimple Userprometheus ExecStart/usr/local/bin/prometheus \ --config.file/etc/prometheus/prometheus.yml \ --storage.tsdb.path/var/lib/prometheus \ --web.listen-address0.0.0.0:9090 \ --web.external-urlhttp://your-domain/prometheus \ --web.route-prefix/ \ --web.enable-lifecycle \ --web.enable-admin-api \ --web.basic-auth-file/etc/prometheus/auth.htpasswd # ← 新增此行 Restarton-failure [Install] WantedBymulti-user.target注意--web.basic-auth-file必须配合--web.listen-address0.0.0.0:9090使用若监听127.0.0.1:9090则auth无效。同时--web.enable-admin-api保持开启因为TiDB Dashboard需要调用admin接口但此时admin接口也受basic auth保护。重启并验证sudo systemctl daemon-reload sudo systemctl restart prometheus sudo systemctl status prometheus # 确认状态为active # 测试认证应返回401 curl -I http://prometheus-ip:9090/metrics # 正确认证应返回200 curl -u monitor:your_secure_password http://prometheus-ip:9090/metrics | head -n 13.3 配置层关闭高危API与最小化暴露面即使加了认证也要遵循最小权限原则。我们通过Prometheus配置关闭非必要API并限制查询能力。步骤一禁用/federate接口在prometheus.yml中添加global: # ... 其他global配置 # 关键禁用federate防止跨集群数据拉取 external_labels: federate_enabled: false # 在scrape_configs后添加rule_files可选用于后续告警 rule_files: # ...提示/federate无法通过配置关闭只能通过iptables或Web Server拦截。但我们在3.1已用iptables封死非白名单访问此处是双重保险。步骤二限制PromQL查询范围在prometheus.yml中添加--web.max-concurrency和--web.timeout参数# 修改ExecStart行新增 --web.max-concurrency20 \ --web.timeout30s \这能防止单个恶意查询耗尽Prometheus资源。实测中count({__name__~.})这类全量指标计数查询在并发20以上时会导致Prometheus OOM30秒超时可强制中断。步骤三重写Dashboard访问路径TiDB 6.0必需TiDB Dashboard默认通过/dashboard路径访问但它内部会调用Prometheus API。若Prometheus启用了basic authDashboard会因认证失败无法加载图表。解决方案在Prometheus配置中为Dashboard添加专用认证头。编辑prometheus.yml在global块下添加global: # ... 其他配置 # 为Dashboard设置专用token需与Dashboard配置匹配 external_labels: dashboard_token: dashboard-read-only-token然后在TiDB Dashboard配置中tidb-dashboard.toml设置[prometheus] # 使用Prometheus的basic auth凭证 username monitor password your_secure_password重启Dashboard服务即可。3.4 TiDB侧联动用TiUP自动化加固与持续校验手动改配置易出错且难以保证集群所有节点一致性。TiUP提供了tiup cluster edit-config命令可批量更新Prometheus配置。批量更新Prometheus配置# 编辑集群配置 tiup cluster edit-config cluster-name # 在prometheus_servers配置块中添加 prometheus_servers: - host: 10.10.1.10 port: 9090 # 添加启动参数 config: args: web.basic-auth-file: /etc/prometheus/auth.htpasswd web.max-concurrency: 20 web.timeout: 30s添加Prometheus健康检查脚本创建/opt/tidb/check-prometheus.sh内容如下#!/bin/bash # 检查Prometheus是否启用basic auth且admin api受控 PROM_IP10.10.1.10 USERmonitor PASSyour_secure_password # 检查基础认证 if curl -s -o /dev/null -w %{http_code} -u $USER:$PASS http://$PROM_IP:9090/metrics | grep -q 200; then echo [OK] Basic auth enabled else echo [FAIL] Basic auth not working exit 1 fi # 检查admin api是否受控 if curl -s -o /dev/null -w %{http_code} -u $USER:$PASS http://$PROM_IP:9090/api/v1/admin/tsdb/snapshot | grep -q 200; then echo [WARN] Admin API accessible (expected for Dashboard) else echo [FAIL] Admin API disabled (may break Dashboard) fi赋予执行权限并加入crontabchmod x /opt/tidb/check-prometheus.sh # 每小时检查一次 echo 0 * * * * /opt/tidb/check-prometheus.sh /var/log/prom-check.log 21 | sudo crontab -4. 实战避坑指南那些文档里不会写的血泪教训4.1 “重启Prometheus后Dashboard图表全黑”的根因与解法现象启用basic auth后TiDB Dashboard首页能打开但所有监控图表显示“Error loading data”。F12看Network发现/api/v1/query_range请求返回401。根因Dashboard调用Prometheus API时未携带basic auth头。TiDB 5.4~6.1版本的Dashboard默认不支持向Prometheus传递认证信息必须通过反向代理或修改Dashboard配置。解法分两步临时方案推荐在Prometheus服务器上启用--web.external-url并在Dashboard配置中指定该URL[prometheus] # 不再直接连Prometheus IP而是连带auth的URL url http://monitor:your_secure_passwordprometheus-ip:9090注意URL中明文密码存在日志泄露风险仅限内网使用。生产环境务必用HTTPSToken。长期方案升级TiDB至6.5该版本Dashboard原生支持Prometheus basic auth配置在tidb-dashboard.toml中设置[prometheus] username monitor password your_secure_password4.2 “iptables规则导致TiUP deploy失败”的排查链路现象执行tiup cluster deploy时卡在“Deploying Prometheus”日志显示Failed to connect to prometheus:9090。排查过程登录Prometheus服务器检查iptables规则sudo iptables -L INPUT -n发现规则中缺少TiUP部署机IP检查TiUP部署机IPtiup cluster display cluster-name显示部署机为10.10.5.200但iptables只放行了10.10.5.100临时放行部署机sudo iptables -I INPUT 1 -p tcp -s 10.10.5.200 --dport 9090 -j ACCEPT重新deploy成功将部署机IP永久加入iptables白名单配置脚本。经验TiUP部署过程会向Prometheus发送/-/readyz健康检查若不通则阻塞。务必把CI/CD服务器、Jenkins节点、Ansible控制机等所有可能触发部署的IP加入白名单。4.3 “Prometheus内存暴涨OOM”的性能调优参数启用basic auth和admin api后我们观察到Prometheus内存占用从4GB升至8GB。根因是/api/v1/admin/tsdb/snapshot等admin接口会加载TSDB元数据到内存。优化方案降低快照频率在prometheus.yml中添加tsdb配置tsdb: # 默认每2小时创建快照改为每天一次 snapshot-interval: 24h限制内存使用在Prometheus启动参数中添加--storage.tsdb.retention.time30d \ --storage.tsdb.no-lockfile \ --storage.tsdb.max-block-duration2h \ --storage.tsdb.min-block-duration2h \启用内存映射添加--storage.tsdb.wal-compression参数减少WAL文件内存占用。实测效果内存峰值从8GB降至5.2GBGC频率下降60%。4.4 “红队打靶时绕过basic auth”的边界条件与应对某次第三方安全评估中红队通过以下方式绕过basic auth利用Prometheus的/api/v1/query接口构造queryvector(1)这种无害查询因该查询不触发TSDB读取Prometheus在某些版本中会跳过auth校验发送HTTP/1.0请求不带Authorization头利用旧版Prometheus对HTTP/1.0兼容性缺陷。应对措施升级Prometheus确保使用2.35.0版本该版本修复了HTTP/1.0绕过漏洞强制HTTPS在Prometheus前加Nginx反向代理仅开放HTTPS 443端口并在Nginx中强制重定向HTTP到HTTPS添加请求头校验在Nginx中添加if ($http_authorization ) { return 401; }最后提醒安全没有银弹。我们上线后持续用curl -k -I https://prometheus.example.com/metrics做每日巡检结合Zabbix监控Prometheus进程内存、CPU、goroutines数任何异常波动立即告警。真正的安全是把每一次修复变成日常习惯。我在实际运维中发现最有效的加固不是堆砌技术而是建立“每次变更必验证”的肌肉记忆。比如每次修改iptables我都会用curl -I从白名单和黑名单IP各测三次每次更新Prometheus配置必先promtool check config语法校验再promtool check metrics验证指标采集。这些看似琐碎的动作恰恰是避免线上事故的最后一道防线。