强化

ENTERPRISE

当您从 permissive 转为 strict 安全模式时，您的群集将变得更加安全。但是，有许多设置可以独立于安全模式进行修改，以提高群集的安全性。

确保根据保护群集的信息设置网络。
设置 auth_cookie_secure_flag为 true。
不要使用默认 ZooKeeper 凭据。相反，为以下各项指定长的随机值：zk_super_credentials、zk_master_credentials 和 zk_agent_credentials。
获取 DC/OS CA 的根证书并手动配置浏览器、DC/OS CLI、curl 和其他客户端。
即使在可选的情况下，也可以使用服务帐户配置服务。
使用密匙来存储敏感信息并将其传递给服务。
使用空间来限制对密匙的服务访问。
严格限制 SSH 密钥的分发。对于调试，请考虑使用 dcos task exec。
坚持最低权限原则，并为您的用户提供他们所需的最低权限。避免授予用户或服务帐户 dcos:superuser 权限。
如果配置外部 LDAP 目录，请选择对所有连接使用 SSL/TLS或 **尝试 StarTtLS，如果失败则中止，并在 CA certificate chain (Optional) 字段中提供根 CA 根证书以及 LDAP 目录服务器的任何中间证书。
覆盖服务的 Linux 用户帐户以使用权限较低的帐户，如 nobody。