我通过 1Panel 容器面板安装了 Hermes,目前发现 Web Dashboard 在没有任何身份验证的情况下即可直接访问。
当容器端口映射为:
0.0.0.0:9119->9119/tcp
时,只要知道服务器 IP 和端口,任何人都可以直接进入 Dashboard,而不需要密码或登录验证。
这可能存在一定的安全风险,因为 Dashboard 中可能会暴露:
- API Key
- session/workspace 信息
- agent 管理功能
想请问目前是否有官方推荐的安全方案?
例如:
- 内置账号密码认证
- 通过环境变量配置登录验证
- 官方推荐的反向代理方案
- 限制公网访问的方法
很多通过 1Panel 这类面板部署的用户,可能会在不知情的情况下将 Dashboard 直接暴露到公网。
感谢项目团队的工作。
反馈问题【BUG】请附带以下信息
1Panel 版本:2.1.12
操作系统(设备): arm64
关键截图:
日志:
没有上述信息的问题很有可能不被回答