ray open ports checker

Este repositório contém um utilitário que o projeto Ray está lançando para ajudar os usuários do Ray a validar se seus clusters não estão configurados incorretamente de uma forma que possa permitir que clientes não confiáveis ​​executem código arbitrário em seus clusters.

Ele executa um conjunto de tarefas Ray em todo o cluster para coletar a lista de portas que Ray está usando atualmente. Cada nó então envia seu conjunto local de portas ativas para um serviço operado pela equipe Ray em execução na Internet pública, que então tenta se conectar novamente e validar se estão acessíveis. Se algum for considerado acessível, o script relatará os detalhes.

• Esta ferramenta depende de configurações de rede simétricas de entrada e saída. Se você estiver usando regras de firewall personalizadas ou regras NAT que modificam isso, inclusive redirecionando portas e roteando conexões entre diferentes endereços IP, o uso desta ferramenta pode resultar em falsos negativos.
• Clusters executados em kubernetes (via KubeRay) ou outros mecanismos de implantação baseados em contêiner podem resultar em falsos negativos. Isso ocorre porque a porta em que Ray acredita estar sendo executada pode não refletir corretamente a porta no host subjacente ou a topologia de rede em torno do host.

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] No open ports detected from any Ray nodes

 Cluster has 26 node(s). Scheduling tasks on each to check for exposed ports
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 44973] node='defb6868434e23ba21c3f9fc84ec523f1378b11e5d289547234edb07'
[...]
[?] open ports detected open_ports=[8265] node='53fca104c1bb17cd3e996b01e0900aa2a24c2f473d845f56eb3f7aa2'
[...]
[?] No open ports detected checked_ports=[6822, 6823, 8076, 8085, 8912, 10002, 10003, 10004, 10005, 60094] node='d368a5fdbe8147bdefafbf9eb4358eae796c168f24f1b297e13a0af6'
Check complete, results:
[?] An server on the internet was able to open a connection to one of this Ray
cluster's public IP on one of Ray's internal ports. If this is not a false
positive, this is an extremely unsafe configuration for Ray to be running in.
Ray is not meant to be exposed to untrusted clients and will allow them to run
arbitrary code on your machine.

You should take immediate action to validate this result and if confirmed shut
down your Ray cluster immediately and take appropriate action to remediate its
exposure. Anything either running on this Ray cluster or that this cluster has
had access to could be at risk.

For guidance on how to operate Ray safely, please review [Ray's security
documentation](https://docs.ray.io/en/master/ray-security/index.html).

O script verificador (checker.py) pode ser encontrado na raiz deste repositório. Ele foi projetado para ser fácil de implantar, sendo um script python de arquivo único com zero dependências além do próprio Ray.

• Copie para o seu nó principal e execute-o
• Use as APIs de envio de trabalhos Ray
• Usar o cliente Ray

• Por que isso não pode ser executado puramente offline? / Por que você precisa responder a um servidor externo?

  • As configurações de rede local podem ser enganosas A vinculação de software a 0.0.0.0 não significa que ele seja acessível à Internet na grande maioria dos cenários de implantação.
  • Ao realizar uma verificação ponta a ponta em um servidor na Internet, reduz a probabilidade de falsos positivos.
  • Além disso: se não quiser usar o servidor hospedado do Ray Teams, você pode hospedar o seu próprio. O código-fonte completo está na pasta server .

• Quais são minhas outras opções?

  • Este script está automatizando o processo de identificação de todos os nós em seu cluster Ray e perguntando a um servidor na Internet se há alguma porta TCP acessível a ele. Você pode realizar uma verificação semelhante usando qualquer uma das ferramentas de verificação de portas disponíveis publicamente.
  • Sinta-se à vontade para examinar como isso funciona e adaptá-lo às suas necessidades; deve funcionar imediatamente, mas sinta-se à vontade para personalizar de acordo com suas necessidades.

Observe que se você utilizar o servidor hospedado da Anyscale: poderemos coletar informações de acordo com nossa política de privacidade enviada ao servidor (por exemplo, endereço IP, portas abertas) para ajudar a melhorar o Ray e determinar até que ponto essas configurações incorretas continuam a ser um problema .