ray open ports checker

Este repositorio contiene una utilidad que el proyecto Ray está lanzando para ayudar a los usuarios de Ray a validar que sus clústeres no estén configurados incorrectamente de una manera que pueda permitir que clientes que no son de confianza ejecuten código arbitrario en sus clústeres.

Ejecuta un conjunto de tareas de Ray en todo el clúster para recopilar la lista de puertos que Ray está utilizando actualmente. Luego, cada nodo envía su conjunto local de puertos activos a un servicio operado por el equipo de Ray que se ejecuta en la Internet pública, que luego intenta conectarse nuevamente y validar si son accesibles. Si se encuentra que alguno es accesible, el script informará los detalles.

• Esta herramienta depende de configuraciones de red entrante y saliente simétricas. Si utiliza reglas de firewall personalizadas o reglas NAT que las modifican, incluido el redireccionamiento de puertos y el enrutamiento de conexiones a través de diferentes direcciones IP, el uso de esta herramienta puede generar falsos negativos.
• Los clústeres que se ejecutan en Kubernetes (a través de KubeRay) u otros mecanismos de implementación basados ​​en contenedores pueden generar falsos negativos. Esto se debe a que el puerto en el que Ray cree que se está ejecutando puede no reflejar correctamente el puerto del host subyacente o la topología de red alrededor del host.

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] No open ports detected from any Ray nodes

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] open ports detected open_ports=[8265] node='53fca104c1bb17cd3e996b01e0900aa2a24c2f473d845f56eb3f7aa2'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] An server on the internet was able to open a connection to one of this Ray
cluster's public IP on one of Ray's internal ports. If this is not a false
positive, this is an extremely unsafe configuration for Ray to be running in.
Ray is not meant to be exposed to untrusted clients and will allow them to run
arbitrary code on your machine.

You should take immediate action to validate this result and if confirmed shut
down your Ray cluster immediately and take appropriate action to remediate its
exposure. Anything either running on this Ray cluster or that this cluster has
had access to could be at risk.

For guidance on how to operate Ray safely, please review [Ray's security
documentation](https://docs.ray.io/en/master/ray-security/index.html).

El script de verificación (checker.py) se puede encontrar en la raíz de este repositorio. Está destinado a ser fácil de implementar al ser un script de Python de un solo archivo sin dependencias más allá del propio Ray.

• Cópielo en su nodo principal y ejecútelo.
• Utilice las API de envío de trabajos de Ray
• Utilice el cliente Ray

• ¿Por qué esto no puede ejecutarse exclusivamente sin conexión? / ¿Por qué necesitas responder a un servidor externo?

  • Las configuraciones de red local pueden ser engañosas. El software vinculado a 0.0.0.0 no significa que sea accesible a Internet en la gran mayoría de los escenarios de implementación.
  • Al realizar una verificación de extremo a extremo en un servidor en Internet, se reduce la probabilidad de falsos positivos.
  • Además: si no desea utilizar el servidor alojado de Ray Teams, puede alojar el suyo propio. El código fuente completo está en la carpeta server .

• ¿Cuáles son mis otras opciones?

  • Este script automatiza el proceso de identificación de todos los nodos en su clúster Ray y pregunta a un servidor en Internet si hay algún puerto TCP accesible para él. Puede realizar una verificación similar utilizando cualquiera de las herramientas de escaneo de puertos disponibles públicamente.
  • No dude en examinar cómo funciona esto y adaptarlo a sus necesidades; debería funcionar de inmediato, pero siéntase libre de personalizarlo según sus necesidades.

Tenga en cuenta que si utiliza el servidor alojado de Anyscale: podemos recopilar información de acuerdo con nuestra política de privacidad enviada al servidor (por ejemplo, dirección IP, puertos abiertos) para ayudar a mejorar Ray y determinar en qué medida estas configuraciones erróneas continúan siendo un problema. .