Actuator监控系统安全配置

Actuator监控系统安全配置踩坑记录

最近在为公司项目配置Spring Boot Actuator监控时，遇到了一个严重的安全漏洞问题。分享一下踩坑过程。

问题描述

默认情况下，Spring Boot Actuator的端点是公开暴露的，这会导致敏感信息泄露。我在配置文件中错误地设置了：

management:
  endpoints:
    web:
      exposure:
        include: "*"

这样会暴露所有端点，包括敏感的env、beans等信息。

复现步骤

1. 创建Spring Boot项目并引入actuator依赖
2. 配置上述安全配置（错误做法）
3. 启动应用后访问 http://localhost:8080/actuator/env
4. 可以看到完整的环境变量信息，包含数据库密码等敏感内容

正确配置方法

应该明确指定需要暴露的端点：

management:
  endpoints:
    web:
      exposure:
        include: "health,info,metrics"
  endpoint:
    health:
      show-details: always

额外安全建议

• 使用HTTPS协议
• 配置IP白名单
• 添加基本认证保护

通过这次踩坑，深刻体会到监控配置的安全性重要性。