【LDAP】LDAP 未授权访问漏洞修复方案

已于 2024-03-11 17:21:23 修改
阅读量1.9k 收藏 10
点赞数 9
分类专栏: ldap+kerberos 文章标签: 网络
于 2023-12-12 17:18:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrerlou/article/details/134953975
版权

前言

最近生产环境中,被安全团队扫描到了 LDAP服务存在未授权访问漏洞。这里记录下如何解决。

问题原因

未对LDAP的访问进行密码验证,导致未授权访问。因为默认的LDAP服务都是开启匿名访问的,

这一般是大部分LDAP服务出现此漏洞的主要原因,导致可以使用ldapbrowser直接连接,获取目录内容。

例如:

ldapsearch -x -b "dc=hadoop,dc=com" -H ldap://10.4.3.3:389| grep test

在这里插入图片描述
这里我们直接就能访问到ldap的资源。

解决方案

  1. 修改 cn=config.ldif 文件
vim /etc/openldap/slapd.d/cn=config.ldif

#插入如下内容:
olcDisallows: bind_anon
olcRequires: authc

在这里插入图片描述

  1. 修改 olcDatabase={-1}frontend.ldif 文件
vim /etc/openldap/slapd.d/cn=config/olcDatabase={-1}frontend.ldif

#插入如下内容:
olcRequires: authc

在这里插入图片描述
3. .重启服务

systemctl restart slapd
#查看任务状态
systemctl restart slapd
  1. 验证是否成功
ldapsearch -x -b "dc=hadoop,dc=com" -H ldap://10.4.3.3:389| grep test

此时会报错,additional info: anonymous bind disallowed
在这里插入图片描述

SSSD

当我们禁止匿名用户访问LDAP 服务后,SSSD 服务可能会无法正常访问 LDAP 服务并拉取缓存数据到本地。sssd 缓存数据目录在 /var/lib/sssd/db

当我们执行 getent passwd 里面无法过过滤到 LDAP 的用户。

解决方案:

  1. 修改 SSSD 配置文件:检查 /etc/sssd/sssd.conf 文件,确保在 [domain/LDAP] 部分中设置了正确的凭据,例如:
[domain/LDAP]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
ldap_tls_reqcert = never
ldap_default_bind_dn = cn=admin,dc=example,dc=com
ldap_default_authtok_type=password
ldap_default_authtok = admin_password

在这个示例中,ldap_default_bind_dn 指定了连接 LDAP 服务器的账号,ldap_default_authtok 指定了该账号的密码。请将这些值替换为你实际的 LDAP 管理账号和密码。

  1. 重启 sssd 服务
systemctl restart sssd
  1. 查看用户
getent passwd

扩展

那么我们该如何访问禁止匿名用户访问的ldap 呢?

答案是使用:-D + -W 参数来进行访问

例如:

ldapsearch -x -D "your_username" -W -b "search_base" "(search_filter)"
  • -D :指定绑定的分发名称(你的用户名)
  • -W:提示输入密码
  • -b :指定搜索基础,“(search_filter)” 指定搜索条件

那么我该怎么正确填写 -D 参数:

举例来说,如果你有一个LDAP用户"John",它的DN可能是类似于 "cn=John,ou=users,dc=example,dc=com"的形式。你需要将这个DN或者类似的用户标识填入到"-D"参数中。

例如:

ldapsearch -x -D "cn=John,ou=users,dc=example,dc=com" -W -b "search_base" "(search_filter)"
kiraraLou
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
openldap-2.5.4
07-05
openldap-2.5.4
若依框架支持LDAP认证
01-31
若依框架支持LDAP认证 该版本是比较老版本,使用新版本可以参照博客修改 相关实现博客:https://blog.csdn.net/shawshank_bingo/article/details/128818128?spm=1001.2014.3001.5501
LDAP授权漏洞验证
qq_45300786的博客
08-18 9462
因为工作需要,这里验证了下LDAP授权。 以下是收集到的资料,最后是具体使用!!!!! ldap安装 https://www.cnblogs.com/xiaozi/p/8276962.html 一、LDAP授权访问漏洞-验证。 LDAP授权访问漏洞-验证 nmap的一些脚本使用 Nmap 使用 nmap脚本使用总结 nmap脚本的官方文档 https://nmap.org/nsedoc/scripts/ldap-brute.html 对于NOVELL LDAP 轻量级目录服务的学习理解 https:
LDAP 授权访问
maverickpig的博客
01-27 5594
LDAP 底层一般使用 TCP 或 UDP 作为传输协议。目录服务是一个特殊的数据库,是一种以树状结构的目录数据库为基础。LDAP访问进行密码验证,导致授权访问
【转载】常见授权访问漏洞总结
gclome的博客
07-25 3949
本文详细地介绍了常见授权访问漏洞及其利用,具体漏洞列表如下: Jboss 授权访问 Jenkins 授权访问 ldap授权访问 Redis授权访问 elasticsearch授权访问 MenCache授权访问 Mongodb授权访问 Rsync授权访问 Zookeeper授权访问 Docker授权访问 1、Jboss授权访问 漏洞原因: 在低版本中,默认可以访问Jboss web控制台(http://127.0.0.1:8080/jmx-console),无需用户名和密码。 漏洞
生命在于学习——授权访问漏洞
易水哲的博客
09-01 8938
授权访问漏洞的学习。
常见授权访问漏洞修复
qq_41945550的博客
06-02 4384
MongoDB是一个基于分布式文件存储的数据库,由C++语言编写,旨在为WEB应用提供可扩展的高性能数据存储解决方案。MongoDB默认端口为27017。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。
授权访问漏洞总结
LuckySec
03-24 4495
前言:这篇文章主要收集一些常见的授权访问漏洞授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 0x01 授权漏洞预览 Active MQ 授权访问 Atlassian Crowd 授权访问 CouchDB 授权访问 Docker 授权访问 Dubbo 授权访问 Druid 授权访问 Elasticsearch 授权访问 FTP 授权访问 Hadoop 授权访问 JBoss 授权访
取消OpenLDAP的匿名访问
叱咤少帅的博客
06-18 2353
LDAP
授权访问漏洞汇总
weixin_46137328的博客
09-23 7356
本文共11695个字,可以先收藏后看。漏洞概览: Elasticsearch授权访问漏洞 Hadoop授权访问漏洞 Jenkins授权访问 MongoDB授权访问 Zoo...
ldap.zip_LDAP DELPHI_delphi ldap
09-21
This is a telephone register, which ask some properties
基于LDAP的XML数据访问
08-23
ldap通讯录和XML通讯录相互查询和同步,支持不同组件协议的查询和认证
RuoYi前后端不分离项目整合LDAP
07-06
基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合
登陆模块,与ldap连接获取信息
07-29
使用ldap验证身份,包括联结ldap,处理exception等信息
轻型目录访问协议(LDAP)介绍.ppt
11-19
LDAP(Lightweight Directory Access Protocol)代表轻量级目录访问协议。用于访问目录服务的一个标准,可扩展的internet协议。部分基于X.500标准,但更简单,更精炼,可扩展性更好。与其他某些通信协议相比,它是轻量...
SD-WAN怎样保障网络稳定
TIANGEKUAJING的博客
04-25 566
随着企业网络的日益复杂,如何确保线路的稳定性和高效性成为了网络管理的一大挑战。尤其是在线路出现故障、质量下降或拥塞时,如何快速响应并切换到最佳线路,就显得尤为重要。SD-WAN,作为一种新型的网络架构,为用户提供了灵活应对各种网络问题的能力。
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
最新发布
fiberroad的博客
04-30 225
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 178
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
集群solr 授权访问 修复
05-19
如果您的Solr集群存在授权访问问题,以下是一些修复建议: 1. 修改Solr配置文件:您可以在Solr配置文件中添加安全措施,例如添加基本身份验证或SSL / TLS加密。这将确保只有经过身份验证的用户才能访问Solr集群。 2. 更新Solr版本:更新到最新版本的Solr可能会修复一些安全漏洞,从而提高整个集群的安全性。 3. 限制网络访问:通过限制Solr在网络上可访问的IP地址和端口,可以减少外部访问集群的可能性。您可以使用防火墙或其他网络安全工具来实现这一点。 4. 安装安全插件:Solr有一些安全插件,可以帮助您增强集群的安全性。例如,您可以安装LDAP插件,以便使用LDAP验证用户身份。 5. 监控日志:定期监控Solr日志文件,以便及时发现任何异常或可疑活动。及时处理这些问题可以降低集群被攻击的风险。 请注意,这些建议只是一些通用的修复建议,并不能保证您的Solr集群完全安全。为了确保您的Solr集群的安全性,请确保持续关注最新的安全威胁,并采取适当的措施来防御这些威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值