一个近期遇到安全问题:
漏洞扫描发现tidb组件的10080端口检测到目标X-Content-Type-Options响应头缺失,可以使用 curl -i "http://{tidb-ip-host}:10080/metrics"的方式手动复现这一问题
目前想到的解决方案是开启组件之间的TLS,这样可以直接拒绝非内部的请求,解决(也可以说是逃避)了这个问题,但开启组件间TLS需要重启集群,代价较大。
想问一下是否存在方案可以以较小的代价解决该问题?
tidb和扫描工具之间得有防火墙吧,只开4000端口,把10080端口关上,外面也没用。
改默认端口
防火墙加白名单,只有tidb内部机器可以访问这个端口,其他的机器不允许访问
感谢,这个方法是可以的
此话题已在最后回复的 60 天后被自动关闭。不再允许新回复。