安全强化

ENTERPRISE

增加集群的安全性

当您从 disabled 转为 permissive 转为 strict 安全模式时，您的集群将变得更加安全。但是，有许多设置可以独立于安全模式进行修改，以提高集群的安全性。

• 在 permissive 和 strict 模式下，将auth_cookie_secure_flag 设置为 true。

• 不要使用默认 ZooKeeper 凭据。而是为以下内容指定长的随机值：zk_super_credentials、zk_master_credentials 和 zk_agent_credentials。

• 获取 DC/OS CA 的根证书 并手动配置 浏览器、DC/OS CLI、curl 和其他客户端。

• 即使在可选的情况下，也可以使用服务帐户配置服务。

• 使用密匙来存储敏感信息并将其传递给服务。

• 使用空间来限制对密匙的服务访问。

• 严格限制 SSH 密钥的分发。对于调试，请考虑使用 dcos task exec。

• 遵守 最小权限原则 并只向您的用户提供他们所需的最低 权限。避免授予用户或服务帐户 dcos:superuser 权限。

• 如果配置外部 LDAP 目录，请选择Use SSL/TLS for all connections或 Attempt StartTLS, abort if it fails CA certificate chain (Optional) 字段中提供 CA 根证书以及 LDAP 目录服务器的任何中间证书。

• 覆盖服务的 Linux 用户帐户以使用权限较低的帐户，如 nobody。