ray open ports checker

يحتوي هذا الريبو على أداة مساعدة يطلقها مشروع Ray لمساعدة مستخدمي Ray على التحقق من أن مجموعاتهم لم يتم تكوينها بشكل غير صحيح بطريقة قد تسمح للعملاء غير الموثوق بهم بتشغيل تعليمات برمجية عشوائية على مجموعاتهم.

يقوم بتشغيل مجموعة من مهام Ray عبر المجموعة لتجميع قائمة المنافذ التي يستخدمها Ray حاليًا. ترسل كل عقدة بعد ذلك مجموعتها المحلية من المنافذ النشطة إلى خدمة يديرها فريق Ray الذي يعمل على الإنترنت العام والذي يحاول بعد ذلك الاتصال مرة أخرى والتحقق من إمكانية الوصول إليها. إذا تم العثور على أي منها يمكن الوصول إليها، فسيقوم البرنامج النصي بالإبلاغ عن التفاصيل.

• تعتمد هذه الأداة على تكوينات الشبكة الواردة والصادرة المتماثلة. إذا كنت تستخدم قواعد جدار الحماية المخصصة أو قواعد NAT التي تعدل ذلك، بما في ذلك عن طريق إعادة توجيه المنافذ وتوجيه الاتصالات عبر عناوين IP مختلفة، فقد يؤدي استخدام هذه الأداة إلى نتائج سلبية خاطئة.
• قد تؤدي المجموعات التي تعمل على kubernetes (عبر KubeRay) أو آليات النشر الأخرى القائمة على الحاويات إلى نتائج سلبية كاذبة. وذلك لأن المنفذ الذي يعتقد راي أنه يعمل عليه قد لا يعكس بشكل صحيح المنفذ الموجود على المضيف الأساسي، أو طوبولوجيا الشبكة حول المضيف.

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] No open ports detected from any Ray nodes

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] open ports detected open_ports=[8265] node='53fca104c1bb17cd3e996b01e0900aa2a24c2f473d845f56eb3f7aa2'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] An server on the internet was able to open a connection to one of this Ray
cluster's public IP on one of Ray's internal ports. If this is not a false
positive, this is an extremely unsafe configuration for Ray to be running in.
Ray is not meant to be exposed to untrusted clients and will allow them to run
arbitrary code on your machine.

You should take immediate action to validate this result and if confirmed shut
down your Ray cluster immediately and take appropriate action to remediate its
exposure. Anything either running on this Ray cluster or that this cluster has
had access to could be at risk.

For guidance on how to operate Ray safely, please review [Ray's security
documentation](https://docs.ray.io/en/master/ray-security/index.html).

يمكن العثور على البرنامج النصي للمدقق (checker.py) في جذر الريبو هذا. من المفترض أن يكون من السهل نشره من خلال كونه نصًا برمجيًا بيثون بملف واحد بدون أي تبعيات تتجاوز Ray نفسه.

• انسخ إلى عقدة رأسك، وقم بتشغيلها
• استخدم واجهات برمجة التطبيقات الخاصة بإرسال مهمة Ray
• استخدم عميل راي

• لماذا لا يمكن تشغيل هذا دون الاتصال بالإنترنت تمامًا؟ / لماذا تحتاج إلى الرد على خادم خارجي؟

  • يمكن أن تكون تكوينات الشبكة المحلية مضللة. ربط البرنامج بـ 0.0.0.0 لا يعني أنه يمكن الوصول إليه عبر الإنترنت، وهو ما يمثل الغالبية العظمى من سيناريوهات النشر.
  • من خلال إجراء فحص شامل على خادم على الإنترنت، فإنه يقلل من احتمالية النتائج الإيجابية الخاطئة.
  • أيضًا: إذا كنت لا ترغب في استخدام الخادم المستضاف لـ Ray Teams، فيمكنك استضافة خادمك الخاص. كود المصدر الكامل موجود في مجلد server .

• ما هي خياراتي الأخرى؟

  • يقوم هذا البرنامج النصي بأتمتة عملية تحديد جميع العقد في مجموعة Ray الخاصة بك ويسأل خادمًا على الإنترنت عما إذا كان هناك أي منافذ TCP يمكن الوصول إليها. يمكنك إجراء فحص مماثل باستخدام أي من أدوات فحص المنافذ المتاحة للعامة.
  • لا تتردد في فحص كيفية عمل ذلك وتكييفه مع احتياجاتك، يجب أن يعمل خارج الصندوق، ولكن لا تتردد في تخصيصه حسب احتياجاتك.

يرجى ملاحظة أنه إذا كنت تستخدم خادم Anyscale المستضاف: فقد نقوم بجمع المعلومات وفقًا لسياسة الخصوصية الخاصة بنا المرسلة إلى الخادم (على سبيل المثال، عنوان IP والمنافذ المفتوحة) للمساعدة في تحسين راي وتحديد إلى أي مدى تظل هذه التكوينات الخاطئة تمثل مشكلة. .