小心你的flink作业正成为某些人的挖矿工具

[casel.chen]

今天在公司遇到一件蹊跷的事情，我之前用于session模式提交作业的flink session集群成为某个别有用心的人运行挖矿机的温床。
表面上他提交了一个flink作业jar包，该jar包经过反编译查看到里面执行了一些shell命令从github外网下载诸好C3Pool等一些挖矿脚本运行，
幸好是测试环境，幸好信息安全部门及时扫描发现该漏洞并定位到有问题的作业jar包。
除了将 web.submit.enabled 参数设置成false外，因为有flink sql无法覆盖的场景，
我们并不能阻止用户提交合法streaming api形式的作业，那么要怎样阻止某些合法用户恶意执行一些非法作业呢？flink框架本身能提供哪些保护手段呢？