Authentication

HAProxy Stats 身份驗證:使用者名和密碼是否必須是明文?

  • October 31, 2021

我正在用 HAProxy 替換我的舊 nginx 負載平衡器,我真的很喜歡統計資訊儀表板,因為我可以使用它來讓伺服器排空或維護。但是,我擔心的是,使用者名和密碼是在其中一個配置文件中以明文形式配置的。我找不到任何可以讓我將其解除安裝到另一個身份驗證選項(如 LDAP)或以散列格式保護它的資訊。

有沒有辦法在配置中不以純文字形式提供這些資訊?

是的,它們必須是明文。從手冊:

由於身份驗證方法是 HTTP 基本身份驗證,因此密碼在網路上以明文形式傳播。因此,決定配置文件也將使用明文密碼來提醒使用者這些密碼不應該敏感並且不與任何其他帳戶共享。

隱藏 haproxystats.cfg密碼的解決方法是在配置文件中使用環境變數值而不是密碼。

這種方式stats.cfg可能看起來像:

listen stats
       bind    *:1936
       mode    http
       stats auth admin:"$PASS"
       ...

PASS環境變數保存密碼。密碼可以通過一些秘密文件填充。

引用自:https://serverfault.com/questions/1021215