记一次防火墙配置

已于 2023-03-04 16:02:15 修改
阅读量2.4k 收藏 2
点赞数 1
分类专栏: 大数据 网络 文章标签: kafka 分布式 zookeeper tdengine
于 2023-03-04 15:51:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Newtaylor/article/details/129334893
版权

因第三方扫描漏洞,发现服务器有zookeeper未授权访问高危安全漏洞,我们采取的措施是给zookeeper访问加权限,在目标主机做以下配置:

一、登录zookeeper

./bin/zookeeper-shell.sh 127.0.0.1:2181

二、查看当前权限
 

getAcl /

三、设置访问权限(多个用逗号隔开)
 

setAcl / ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa

经过以上配置后扫描漏洞依然存在,于是在/zookeeper /zookeeper/quota /config 节点均配置

setAcl /zookeeper ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa
setAcl /zookeeper/quota ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa
setAcl /config ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa

如果需要回退,请执行

--回退
 

setAcl / world:anyone:cdrwa
setAcl /zookeeper world:anyone:cdrwa
setAcl /config world:anyone:cdrwa
setAcl /zookeeper/quota world:anyone:cdrwa

并重启了zookeeper和kafka,重启顺序是关闭kafka-->关闭zookeeper-->启动zookeeper-->启动kafka,注意每次关闭都jps看看是否真正关闭了。

./bin/kafka-server-stop.sh
./bin/zookeeper-server-stop.sh
nohup ./bin/zookeeper-server-start.sh config/zookeeper.properties >/dev/null 2>&1 &
nohup ./bin/kafka-server-start.sh config/server.properties >/dev/null 2>&1 &

为了以防万一,将2181端口移除,仅允许访问的ip访问2181端口,具体操作如下:

四、设置防火墙

firewall-cmd --zone=public --remove-port=2181/tcp --permanent
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="授权访问的ip" port protocol="tcp" port="2181" accept'
firewall-cmd --reload
firewall-cmd --list-all

如果需要回退,请执行

--回退
 

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="授权访问的ip" port protocol="tcp" port="2181" accept'
firewall-cmd --reload

附:防火墙常见命令

1.查看状态

systemctl status firewalld

2.启动防火墙

systemctl start firewalld

3.停止防火墙

systemctl stop firewalld

4.立即生效

firewall-cmd --reload

5.开启tcp端口 

firewall-cmd --zone=public --add-port=2181/tcp --permanent

6.移除tcp端口 

firewall-cmd --zone=public --remove-port=2181/tcp --permanent

7.开启udp端口 

firewall-cmd --zone=public --add-port=6030-6039/udp --permanent

8.查看开启的端口 

firewall-cmd --list-all

如果用到tdnegine,注意tcp和udp端口都要开启

最后就是等待第三方的再次扫描了

Newtaylor
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
一次HW目标测试1
08-03
然而,这些尝试都未能成功,可能是由于服务器的配置限制或者防火墙规则阻止了这些操作。 随后,测试人员发现了未授权访问的phpMyAdmin,并试图利用其进行shell上传,但由于权限限制未能成功。他们转而回到后台,...
Apache Zookeeper未授权访问漏洞
q80880117的博客
07-11 835
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)格式:setAcl 路径 ip:xxx.xxx.xxx.xx1:cdrwa,ip:xxx.xxx.xxx.xx2:cdrwa。例如:setAcl /zkaa ip:127.0.0.1:cdrwa,ip:10.111.134.6:cdrwa。注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。
Java配置12-zookeeper未授权访问漏洞修复
JustDI0209的博客
01-11 3405
目录 1.现状 2.方法 1.现状 公司检测出安装的zookeeper存在未经授权访问漏洞。 查了一些资料,方法有很多,有的比较复杂,有的需要管理员权限。 现在使用相对简单的一种设置,即配置访问控制列表(ACL)。 2.方法 在10.XX.XX.61 和 10.XX.XX.79 上各安装了一个zookeeper 3.4.13 1)进入61上zookeeper的bin文件夹,执行命令 ./zkCli.sh -server 10.XX.XX.79:2181 这样就从61上连接到了79的zoo
zk添加访问白名单
独孤飞磊
11-20 2811
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda 1.登陆zookeeper 进入zookeeper安装目录下的bin目录下执行 ./zkCli.sh -server ip:port 例如: ./zkCli.sh -server 10.100.254.107:2181 2.查看当前权限 getAcl / 3.添加可访问IP setAcl / ip:10.100.254.113:cdrwa,ip:10.100
ZooKeeper ACL权限控制
热门推荐
赶路人儿
02-27 1万+
ZK 类似文件系统,Client 可以在上面创建节点、更新节点、删除节点等如何做到权限的控制?查阅文档,zk的ack(Access Control List)能够保证权限,但是调研完后发现它不是很好用。 ACL 权限控制,使用:schema:id:permission 来标识,主要涵盖 3 个方面: 权限模式(Schema):鉴权的策略授权对象(ID)权限(Permission) 其
Linux · Zookeeper的安装、使用及常用命令,虚拟机ping外网,linux防火墙设置
n_AloneT的博客
03-26 3998
zookeeper安装与使用,虚拟机ping不通,防火墙端口开放,临时节点
zookeeper添加ip白名单
qq1025551832的博客
04-15 8710
1.连接zookeeper 进入zookeeper安装目录 bin目录下 ./zkCli.sh -server 192.168.122.76:2181 (linux环境操作指令) zkCli -server 192.168.122.76:2181 (windows cmd环境指令) 2.查看节点 ls / 3.查看节点权限 getAcl /zookeeper 4. 设置ip权限 为根节点添加ip白名单 setAcl / ip:127.0.0.1:cdrwa
一次捡洞的经历.pdf
最新发布
04-22
CVE-2023-27524 是指 Apache Superset 中存在的一种远程代码执行(RCE)漏洞,源于其不安全的默认配置。攻击者可以利用这一漏洞,在未授权的情况下执行任意代码,从而可能获取服务器的控制权或者窃取敏感信息等。 #...
一次有趣的tp5代码执行1
08-03
标题和描述提到的是一次针对ThinkPHP 5.0.23版本的代码执行漏洞利用。攻击者通过构造特定的POST请求,可以触发`_method`和`method`参数,利用`assert`函数进行代码注入。然而,服务器已经禁用了某些危险的PHP函数,...
华为防火墙实现单点登录方式.docx
01-04
下一条日志就是发送用户信息到网关,这里的网关对应到上面ADSSO配置页面可知就是将信息发送给了防火墙。 实验拓扑图中,华为ensp、VM虚拟机、Windows server和PC等设备都需要安装并配置,以便进行单点登录实验。在...
防火墙相关
04-24
5.1.2 一次性口令 92 5.1.3 灵巧卡 94 5.1.4 生物技术 94 5.2 主机-主机鉴别 95 5.2.1 基于网络的鉴别 95 5.2.2 密码技术 95 第6章 网关工具 97 6.1 proxylib 97 6.2 syslog 98 6.3 监视网络:tcpdump及其支持产品 ...
zookeeperacl权限控制
qq_45421186的博客
02-07 476
一.概述 zookeeper类似文件系统,client可以创建节点、更新节点、删除节点。而节点的权限控制是access control list(访问控制列表)。 二.acl权限控制的内容 1.权限模式(scheme) 采用授权的策略。 2.授权对象(id) 授权的对象。 3.权限(permission) 授予的权限。 三.zookeeper权限控制特性 1.zookeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限。 2.每个znode节点支持设置多种权限控制方案和多个权限 3.子
【Linux】4_基本权限ACL命令setacl和getacl
weixin_43498449的博客
01-17 2365
1.ACL与UGO的区别 ACL文件权限管理:设置不同用户,不同的基本权限(r、w、x),对象数量不同。 UGO设置基本权限:只能一个用户,一个组和其他人 2.ACL使用 语法: setfacl -m u:alice:rw /home/test.txt 语法解释:命令 设置 用户或组:用户名:权限 文件对象 准备文件:touch /home/test.txt 查看文件权限: ll /home/test.txt 设置ACL : 查看文件有哪些ACL权限: getfacl /h...
Windows下搭建zookeeper(单机版)
浮煌的博客
10-07 335
下载 下载地址:https://zookeeper.apache.org/releases.html 下载后是tar.gz形式,windows下正常解压即可。 解压 解压后的如下,注意:需要自己创建data与log目录 修改配置 进入config目录下,将原有的zoo_sample.cfg文件复制一份,重命名为zoo.cfg. 修改dataDIR,配置dataLogDir为自己添加的目录,注意这里的双斜线。 dataDir=E:\\zookeeper-3.4.5\\data
【Linux】firewall防火墙配置-解决Zookeeper未授权访问漏洞
实施工程师从入门到放弃
11-27 932
zookeeper未授权访问漏洞,进行限制访问,采用防火墙访问策略。
zookeeper学习笔3(小滴课堂)
weixin_52618349的博客
01-02 680
zookeeper选举机制
ZooKeeper ACL权限设置
weixin_34288121的博客
06-09 202
ZK的节点有5种操作权限:CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限 身份的认证有4种方式:world:默认方式,相当于全世界都能访问auth:代表已经认证通过的用户(cli中可以通过addauth di...
ZookeeperACL 权限控制
study_study_know的博客
11-07 267
一、简介 ZookeeperACL 权限控制,可以控制节点的读写操作,保证数据的安全性,Zookeeper ACL 权 限设置分为 3 部分组成,分别是:权限模式(Scheme)、授权对象(ID)、权限信息 (Permission)。最终组成一条例如“scheme: id :permission”格式的 ACL 请求信息。 二、权限模式 用来设置 ZooKeeper 服务器进行权限验证的方式。ZooKeeper 的权限 验证方式大体分为两种类型: 1.范围验证 所谓的范围验证就是说 ZooKeeper
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值