Airflow Configuration

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au fuata kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Faili ya Mipangilio

Apache Airflow inazalisha faili ya mipangilio kwenye mashine zote za airflow inayoitwa airflow.cfg katika nyumba ya mtumiaji wa airflow. Faili hii ya mipangilio ina habari za usanidi na inaweza kuwa na habari za kuvutia na nyeti.

Kuna njia mbili za kupata faili hii: Kwa kudhoofisha baadhi ya mashine za airflow, au kupata ufikiaji wa konsoli ya wavuti.

Tafadhali kumbuka kuwa thamani ndani ya faili ya mipangilio inaweza isiwe ile inayotumiwa, kwani unaweza kuzibadilisha kwa kuweka mazingira ya mazingira kama AIRFLOW__WEBSERVER__EXPOSE_CONFIG: 'kweli'.

Ikiwa una ufikiaji wa faili ya mipangilio kwenye seva ya wavuti, unaweza kuangalia usanidi halisi unaotumika kwenye ukurasa huo huo ambapo mipangilio inaonyeshwa. Ikiwa una ufikiaji wa mashine fulani ndani ya mazingira ya airflow, angalia mazingira.

Baadhi ya thamani za kuvutia za kuangalia wakati wa kusoma faili ya mipangilio:

[api]

access_control_allow_headers: Hii inaonyesha vichwa vilivyoidhinishwa kwa CORS
access_control_allow_methods: Hii inaonyesha njia zilizoidhinishwa kwa CORS
access_control_allow_origins: Hii inaonyesha asili zilizoidhinishwa kwa CORS
auth_backend: Kulingana na nyaraka chaguo chache zinaweza kuwekwa mahali pa kusanidi nani anaweza kupata API:
airflow.api.auth.backend.deny_all: Kwa chaguo msingi hakuna mtu anayeweza kupata API
airflow.api.auth.backend.default: Kila mtu anaweza kupata bila uwakilishi
airflow.api.auth.backend.kerberos_auth: Kusanidi uthibitishaji wa kerberos
airflow.api.auth.backend.basic_auth: Kwa uthibitishaji wa msingi
airflow.composer.api.backend.composer_auth: Hutumia uthibitishaji wa wachoraji (GCP) (kutoka hapa).
composer_auth_user_registration_role: Hii inaonyesha jukumu ambalo mtumiaji wa mchoraji atapata ndani ya airflow (Op kwa chaguo-msingi).
Unaweza pia kuunda njia yako ya uthibitishaji na python.
google_key_path: Njia ya ufunguo wa akaunti ya huduma ya GCP

[atlas]

password: Nenosiri la Atlas
username: Jina la mtumiaji wa Atlas

[celery]

flower_basic_auth : Anwani (mtumiaji1:nenosiri1,mtumiaji2:nenosiri2)
result_backend: Url ya Postgres ambayo inaweza kuwa na vyeti.
ssl_cacert: Njia ya cacert
ssl_cert: Njia ya cheti
ssl_key: Njia ya funguo

[core]

dag_discovery_safe_mode: Imewezeshwa kwa chaguo-msingi. Wakati wa kugundua DAGs, puuza faili yoyote isiyokuwa na maneno DAG na airflow.
fernet_key: Funguo ya kuhifadhi pembejeo zilizoandikwa (simetria)
hide_sensitive_var_conn_fields: Imewezeshwa kwa chaguo-msingi, ficha habari nyeti za uhusiano.
security: Moduli gani ya usalama itumike (kwa mfano kerberos)

[dask]

tls_ca: Njia ya ca
tls_cert: Sehemu ya cheti
tls_key: Sehemu ya funguo ya tls

[kerberos]

ccache: Njia ya faili ya ccache
forwardable: Imewezeshwa kwa chaguo-msingi

[logging]

google_key_path: Njia ya GCP JSON creds.

[secrets]

backend: Jina kamili la darasa la nyuma ya siri kuwezesha
backend_kwargs: Param ya backend_kwargs inapakiwa kwenye kamusi na kupitishwa kwa init ya darasa la nyuma ya siri.

[smtp]

smtp_password: Nenosiri la SMTP
smtp_user: Mtumiaji wa SMTP

[webserver]

cookie_samesite: Kwa chaguo-msingi ni Lax, kwa hivyo tayari ni thamani dhaifu kabisa
cookie_secure: Weka bendera salama kwenye kuki ya kikao
expose_config: Kwa chaguo-msingi ni Fasle, ikiwa ni kweli, mipangilio inaweza kusomwa kutoka kwa wavuti konsoli
expose_stacktrace: Kwa chaguo-msingi ni Kweli, itaonyesha mizunguko ya python (inaweza kuwa na manufaa kwa muhusika)
secret_key: Hii ni funguo inayotumiwa na flask kusaini kuki (ikiwa unayo hii unaweza kujifanya kuwa mtumiaji yeyote katika Airflow)
web_server_ssl_cert: Njia ya cheti cha SSL
web_server_ssl_key: Njia ya funguo la SSL
x_frame_enabled: Chaguo-msingi ni Kweli, kwa hivyo kwa chaguo-msingi clickjacking haiwezekani

Uthibitishaji wa Wavuti

Kwa chaguo-msingi uthibitishaji wa wavuti umeelezwa kwenye faili webserver_config.py na imepangwa kama

AUTH_TYPE = AUTH_DB

Hii inamaanisha kwamba uthibitisho unakaguliwa dhidi ya database. Walakini, mipangilio mingine inawezekana kama

AUTH_TYPE = AUTH_OAUTH

Kuacha uthibitisho kwa huduma za tatu.

Walakini, kuna chaguo la kuruhusu watumiaji wasiojulikana kupata, kwa kuweka parameter ifuatayo kwa jukumu lililotaka:

AUTH_ROLE_PUBLIC = 'Admin'

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au fuata kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousApache Airflow Security NextAirflow RBAC

Last updated 2 months ago