ray open ports checker

Dieses Repo enthält ein Dienstprogramm, das das Ray-Projekt veröffentlicht, um Ray-Benutzern dabei zu helfen, zu überprüfen, ob ihre Cluster nicht so falsch konfiguriert sind, dass nicht vertrauenswürdige Clients möglicherweise beliebigen Code auf ihren Clustern ausführen könnten.

Es führt eine Reihe von Ray-Aufgaben im gesamten Cluster aus, um die Liste der Ports zu erfassen, die Ray derzeit verwendet. Jeder Knoten sendet dann seinen lokalen Satz aktiver Ports an einen vom Ray-Team betriebenen Dienst im öffentlichen Internet, der dann versucht, eine Verbindung herzustellen und zu überprüfen, ob sie zugänglich sind. Wenn festgestellt wird, dass auf welche zugegriffen werden kann, meldet das Skript die Details.

• Dieses Tool ist auf symmetrische eingehende und ausgehende Netzwerkkonfigurationen angewiesen. Wenn Sie benutzerdefinierte Firewall-Regeln oder NAT-Regeln verwenden, die dies ändern, einschließlich der Umleitung von Ports und der Weiterleitung von Verbindungen über verschiedene IP-Adressen, kann die Verwendung dieses Tools zu falsch-negativen Ergebnissen führen.
• Cluster, die auf Kubernetes (über KubeRay) oder anderen Container-basierten Bereitstellungsmechanismen ausgeführt werden, können zu falsch-negativen Ergebnissen führen. Dies liegt daran, dass der Port, von dem Ray glaubt, dass er ausgeführt wird, möglicherweise nicht korrekt den Port auf dem zugrunde liegenden Host oder die Netzwerktopologie um den Host herum widerspiegelt.

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] No open ports detected from any Ray nodes

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] open ports detected open_ports=[8265] node='53fca104c1bb17cd3e996b01e0900aa2a24c2f473d845f56eb3f7aa2'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] An server on the internet was able to open a connection to one of this Ray
cluster's public IP on one of Ray's internal ports. If this is not a false
positive, this is an extremely unsafe configuration for Ray to be running in.
Ray is not meant to be exposed to untrusted clients and will allow them to run
arbitrary code on your machine.

You should take immediate action to validate this result and if confirmed shut
down your Ray cluster immediately and take appropriate action to remediate its
exposure. Anything either running on this Ray cluster or that this cluster has
had access to could be at risk.

For guidance on how to operate Ray safely, please review [Ray's security
documentation](https://docs.ray.io/en/master/ray-security/index.html).

Das Checker-Skript (checker.py) befindet sich im Stammverzeichnis dieses Repos. Es soll einfach zu implementieren sein, da es sich um ein einzelnes Python-Skript ohne Abhängigkeiten über Ray selbst handelt.

• Kopieren Sie es auf Ihren Hauptknoten und führen Sie es aus
• Verwenden Sie die Ray Job Submission APIs
• Verwenden Sie Ray Client

• Warum kann das nicht rein offline laufen? / Warum müssen Sie mit einem externen Server antworten?

  • Lokale Netzwerkkonfigurationen können irreführend sein. Die Softwarebindung an 0.0.0.0 bedeutet nicht, dass sie über das Internet zugänglich ist, was in den allermeisten Einsatzszenarien der Fall ist.
  • Durch die Durchführung einer End-to-End-Prüfung eines Servers im Internet wird die Wahrscheinlichkeit falsch positiver Ergebnisse verringert.
  • Außerdem: Wenn Sie den von Ray Teams gehosteten Server nicht nutzen möchten, können Sie Ihren eigenen Server hosten. Der vollständige Quellcode befindet sich im server .

• Was sind meine anderen Optionen?

  • Dieses Skript automatisiert den Prozess der Identifizierung aller Knoten in Ihrem Ray-Cluster und fragt einen Server im Internet, ob TCP-Ports für ihn zugänglich sind. Sie können eine ähnliche Überprüfung mit jedem der öffentlich verfügbaren Port-Scan-Tools durchführen.
  • Schauen Sie sich gerne an, wie das funktioniert, und passen Sie es an Ihre Bedürfnisse an. Es sollte sofort funktionieren, aber Sie können es auch gerne an Ihre Bedürfnisse anpassen.

Bitte beachten Sie Folgendes, wenn Sie den gehosteten Server von Anyscale nutzen: Wir können gemäß unserer Datenschutzrichtlinie Informationen sammeln, die an den Server gesendet werden (z. B. IP-Adresse, offene Ports), um Ray zu verbessern und festzustellen, inwieweit diese Fehlkonfigurationen weiterhin ein Problem darstellen .