ray open ports checker

Repo ini berisi utilitas yang dirilis proyek Ray untuk membantu pengguna Ray memvalidasi bahwa klaster mereka tidak dikonfigurasi secara salah sehingga memungkinkan klien yang tidak tepercaya menjalankan kode arbitrer di klaster mereka.

Ini menjalankan serangkaian tugas Ray di seluruh cluster untuk mengumpulkan daftar port yang saat ini digunakan Ray. Setiap node kemudian mengirimkan kumpulan port aktif lokalnya ke layanan yang dioperasikan oleh tim Ray yang berjalan di internet publik yang kemudian mencoba menyambung kembali dan memvalidasi apakah port tersebut dapat diakses. Jika ada yang dapat diakses, skrip akan melaporkan rinciannya.

• Alat ini bergantung pada konfigurasi jaringan masuk dan keluar yang simetris. Jika Anda menggunakan aturan firewall khusus atau aturan NAT yang mengubahnya, termasuk dengan mengalihkan port, merutekan koneksi ke alamat IP yang berbeda, penggunaan alat ini dapat menghasilkan negatif palsu.
• Cluster yang berjalan di kubernetes (melalui KubeRay) atau mekanisme penerapan berbasis container lainnya dapat menghasilkan hasil negatif palsu. Hal ini karena port yang diyakini Ray sedang berjalan mungkin tidak mencerminkan port pada host yang mendasarinya, atau topologi jaringan di sekitar host dengan benar.

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] No open ports detected from any Ray nodes

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] open ports detected open_ports=[8265] node='53fca104c1bb17cd3e996b01e0900aa2a24c2f473d845f56eb3f7aa2'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] An server on the internet was able to open a connection to one of this Ray
cluster's public IP on one of Ray's internal ports. If this is not a false
positive, this is an extremely unsafe configuration for Ray to be running in.
Ray is not meant to be exposed to untrusted clients and will allow them to run
arbitrary code on your machine.

You should take immediate action to validate this result and if confirmed shut
down your Ray cluster immediately and take appropriate action to remediate its
exposure. Anything either running on this Ray cluster or that this cluster has
had access to could be at risk.

For guidance on how to operate Ray safely, please review [Ray's security
documentation](https://docs.ray.io/en/master/ray-security/index.html).

Skrip pemeriksa (checker.py) dapat ditemukan di root repo ini. Ini dimaksudkan agar mudah diterapkan dengan menjadi skrip python file tunggal tanpa ketergantungan di luar Ray itu sendiri.

• Salin ke node kepala Anda, dan jalankan
• Gunakan API Pengiriman Pekerjaan Ray
• Gunakan Klien Ray

• Mengapa ini tidak bisa berjalan secara offline saja? / Mengapa Anda perlu menghubungi server eksternal?

  • Konfigurasi jaringan lokal dapat menyesatkan Pengikatan perangkat lunak ke 0.0.0.0 tidak berarti dapat diakses ke internet merupakan sebagian besar skenario penerapan.
  • Dengan melakukan pemeriksaan end to end terhadap server di internet mengurangi kemungkinan kesalahan positif.
  • Juga: Jika Anda tidak ingin menggunakan server yang dihosting Tim Ray, Anda dapat menghosting server Anda sendiri. Kode sumber lengkap ada di folder server .

• Apa pilihan saya yang lain?

  • Skrip ini mengotomatiskan proses mengidentifikasi semua node di cluster Ray Anda dan menanyakan server di internet apakah ada port tcp yang dapat diakses olehnya. Anda dapat melakukan pemeriksaan serupa menggunakan alat pemindaian port apa pun yang tersedia untuk umum.
  • Silakan memeriksa cara kerjanya dan menyesuaikannya dengan kebutuhan Anda, ini akan langsung berfungsi, namun jangan ragu untuk menyesuaikannya dengan kebutuhan Anda.

Harap dicatat bahwa jika Anda menggunakan server yang dihosting Anyscale: kami dapat mengumpulkan informasi sesuai dengan kebijakan privasi kami yang dikirim ke server (misalnya, alamat IP, port terbuka) untuk membantu meningkatkan Ray dan menentukan sejauh mana kesalahan konfigurasi ini terus menjadi masalah .