【补补漏洞吧 | 02】等保测评ZooKeeper&Elasticsearch未授权访问漏洞补漏方法

原创 已于 2024-10-30 14:36:05 修改 · 1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #大数据 #搜索引擎 #zookeeper #linux #安全

于 2024-10-30 14:15:15 首次发布

一、项目背景

客户新系统上线,因为行业网络安全要求,需要做等保测评,通过第三方漏扫工具扫描系统,漏扫报告显示ZooKeeper和Elasticsearch服务各拥有一个漏洞,具体结果如下:
1、ZooKeeper未授权访问【原理扫描】(中危)
2、Elasticsearch 未授权访问【原理扫描】(高危)
如果按照漏扫工具给出的解决方法,创建对应的授权用户,会导致服务之间的连接调用出现问题,所以,要解决这两个漏洞,需要设置防火墙规则。

二、补漏步骤

1、安装iptables防火墙
yum -y install iptables

2、配置防火墙规则:只允许本地服务器访问

可以使用命令配置,也可以写入iptables规则文件
vim /etc/sysconfig/iptables

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#本机服务器地址

-A INPUT -s 172.16.30.67/32 -p tcp -j ACCEPT

#本地服务器地址

-A INPUT -s 172.16.30.60/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.61/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.62/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.63/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.64/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.65/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.66/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.68/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.69/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.70/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.71/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.11/32 -p tcp -j ACCEPT

#容器calico使用的ip地址
-A INPUT -s 172.17.0.0/16 -p tcp -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
3、重启iptables
systemctl start iptables
systemctl enable iptables
4、测试系统是否可用
未授权访问ZooKeeper 未授权访问漏洞
qq_68163788的博客
05-15 4795
zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
存在 ZooKeeper 未授权访问原理扫描】--通过防火墙策略进行修复
qyq88888的专栏
06-06 1040
ELK集群存在 ZooKeeper 未授权访问原理扫描
ZooKeeper 未授权访问漏洞处理方法
08-31
ZooKeeper 未授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
未授权访问漏洞复现及总结
最新发布
weixin_42659194的博客
06-18 60
常见的漏洞有FTP 未授权访问(21)、Rsync 未授权访问(873)、ZooKeeper 未授权访问(2181)、Docker 未授权访问(2375)、VNC 未授权访问(5900、5901)、Redis 未授权访问(6379)、JBoss 未授权访问(8080)、Jenkins 未授权访问(8080)、HadoopYARN 未授权访问(8088)、MongoDB 未授权访问(27017)等。在应急响应未授权访问漏洞事件时,“快速隔离、详尽取证、彻底根除、持续监控” 是核心原则。
修复现网漏洞扫描结果项:ZooKeeper 未授权访问[原理扫描]
旻璿的专栏
01-23 1617
某主机漏扫后,有高危风险项需要修复:ZooKeeper 未授权访问[原理扫描]
Elasticsearch 未授权访问漏洞修复
LIARRR的博客
02-09 8982
es Elasticsearch 未授权访问漏洞修复 X-Pack
Elasticsearch未授权访问漏洞
秦子腾
03-23 2126
执行设置用户名和密码的命令,这里需要为4个用户分别设置密码,elastic, kibana, logstash_system,beats_system。1、编辑elasticsearch.yml配置文件,添加认证相关配置。2、重启ElasticSearch。4、如果想要更新密码执行。
Elasticesarch未授权访问修复
weixin_43966996的博客
05-08 2958
通过iptables限制Elasticesarch未授权访问
解决集群Elasticsearch 未授权访问漏洞
神奇侠MAKER
12-25 965
得到elastic-certificates.pem ,复制到kinana config下,修改配置(config/kinana.yml)证书转换(elastic-certificates.p12 转换成elastic-certificates.pem)3、将elastic-certificates.p12 复制到三个节点下config。9、登录访问,刚才设置过密码的用户,如果权限不够,使用elastic用户。6、设置密码(设置一台即可,会同步的)回车,空密码(可以输入密码),回车。
ElasticSearch单机或集群未授权访问漏洞
爱辉弟的博客
12-18 4866
ElasticSearch未授权访问漏洞,使用系统防火墙来做限制只允许ES集群和Server节点的IP来访问漏洞节点的9200端口,其他的全部拒绝。并在ES节点上设置用户密码
zookeeper未授权访问修复建议
07-14
ZooKeeper 未授权访问修复建议 ZooKeeper 作为一个分布式应用程序协调服务,提供了高效、可靠的分布式锁、队列、节点管理等功能。但是,如果 ZooKeeper 没有正确地配置访问权限,就可能会出现未授权访问的问题,...
ZooKeeper通过ACL修复未授权访问漏洞
05-06
通过这种方式,可以有效地对ZooKeeper的节点进行细粒度的访问控制,从而避免未授权访问漏洞。 最后,值得注意的是,为了确保ZooKeeper集群的安全,应该对关键节点进行严格的权限控制。由于ZooKeeper不支持节点间的...
修复zookeeper未授权访问漏洞
qq_28392947的博客
01-12 3601
【代码】修复zookeeper未授权访问漏洞
ElasticSearch 命令执行漏洞 CVE-2014-3120 漏洞测试
ADummy的博客
02-24 440
ElasticSearch 命令执行漏洞(CVE-2014-3120) by ADummy 0x00利用路线 ​ Burpsuite抓包—>java代码放入json—>有回显命令执行 0x01漏洞介绍 ​ 老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。 MVEL执行命令的代码如下: import java.io.*; new java.util.Scanner(Runtime.g
zk添加访问白名单
独孤飞磊
11-20 3036
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda 1.登陆zookeeper 进入zookeeper安装目录下的bin目录下执行 ./zkCli.sh -server ip:port 例如: ./zkCli.sh -server 10.100.254.107:2181 2.查看当前权限 getAcl / 3.添加可访问IP setAcl / ip:10.100.254.113:cdrwa,ip:10.100
Elasticsearch 未授权访问漏洞复现】
热门推荐
一纸荒芜的博客
10-31 1万+
Elasticsearch 未授权访问漏洞
zookeeper未授权访问漏洞
05-01
然而,在使用Zookeeper时,存在一个未授权访问漏洞。这个漏洞可以让攻击者通过未经授权的方式获取Zookeeper的敏感信息,从而导致系统的失效和安全性问题。 当攻击者利用这个漏洞时,他们可以轻松地访问Zookeeper...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

木子Linux

各位看官老爷,行行好

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值