负载均衡存在配置疏漏、权限过高、加密缺失等风险,可能成为攻击跳板;需防范openresty中access_by_lua注入、upstream内网暴露、ssl/tls配置不当、健康检查与限流误用,以及自身系统权限失控。
负载均衡不是“配完就安全”的黑盒,它本身可能成为攻击跳板——尤其当配置疏漏、权限过高或加密缺失时,“负载均衡getshell”这类高危渗透已成真实案例。
OpenResty 中 access_by_lua 脚本注入风险怎么防?
OpenResty 的动态路由能力很强,但 access_by_lua 若直接拼接未校验的请求参数(比如 $arg_token 或 $http_user_agent),可能触发 Lua 解释器执行恶意代码。这不是理论漏洞,已有利用未过滤的 ngx.var 变量实现命令注入的实战报告。
- 永远避免在 Lua 脚本中使用
os.execute()、io.popen()或字符串拼接后loadstring() - 所有外部输入必须白名单过滤:用
string.match(v, "^[%w_%.%-]+$")限制字符集,而非简单gsub替换 - 把业务逻辑移出
access_by_lua,改用rewrite_by_lua或后端服务处理;若必须用,启用lua_code_cache off仅用于调试,生产环境务必关闭
Nginx upstream 配置不当如何导致内网暴露?
常见错误是 upstream 直接写内网 IP + 端口(如 192.168.1.5:3000),又没配好防火墙或 proxy_set_header,结果攻击者通过构造恶意 Host 头或利用缓存投毒,绕过负载均衡直连后端管理接口——Grafana 的 /api/admin/users 或 Prometheus 的 /metrics 就这么被扫出来。
- upstream server 必须加
resolve或对接 DNS 服务,禁用硬编码内网地址;如需固定,用私有 DNS 域名替代 IP - 所有
proxy_pass后必须显式设置:proxy_set_header Host $host;、proxy_set_header X-Real-IP $remote_addr;,并用proxy_hide_header屏蔽后端敏感响应头 - 在 server 块顶部加
if ($host !~ ^(grafana\.example\.com|api\.example\.com)$) { return 444; }强制域名白名单
SSL/TLS 配置里哪些细节会让 HTTPS 形同虚设?
开了 HTTPS 不等于安全。如果只配了证书但没禁用 TLS 1.0/1.1、没设 HSTS、没开 OCSP Stapling,中间人仍可降级或伪造证书。更隐蔽的是:负载均衡与后端之间走 HTTP 明文,等于把解密后的请求裸奔传给应用服务器。
- 必须强制后端通信也走 HTTPS:
proxy_pass https://backend;,且后端服务验证负载均衡的客户端证书(双向 TLS) - SSL 配置中禁用不安全协议:
ssl_protocols TLSv1.2 TLSv1.3;,密钥交换必须排除EXPORT、RC4、MD5 - 加上
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;,否则浏览器不会自动升 HTTPS
Grafana 集群下健康检查和限流为什么反而会引入风险?
proxy_next_upstream error timeout 看似容错,但如果后端服务返回 500 时也转发,可能把错误堆栈、数据库连接串等敏感信息透传给用户;而 limit_req 若只按 IP 限速,攻击者用代理池就能绕过,还可能误伤正常爬虫或监控探针。
- 健康检查路径(如
/healthz)必须独立部署,禁止复用 Grafana 的/api/health,后者可能泄露版本或插件状态 - 限流应结合请求特征:
limit_req zone=grafana burst=20 nodelay;改为按$request_uri+$http_authorization组合哈希,防暴力爆破登录接口 - 所有 upstream 的
proxy_intercept_errors on;必须开启,并配error_page 500 502 503 504 /5xx.html;,避免后端错误页面泄露技术栈
最常被忽略的一点:负载均衡器自身的操作系统和 OpenResty/Nginx 进程权限。别让它跑在 root 下,也别让日志目录可写——攻击者拿下一个配置错误的 Lua 脚本后,第一件事就是往 /var/log/nginx/ 写 Webshell。安全不是加功能,是不断删掉不需要的东西。
