Influxdb安全基线
访问控制
1.高危-禁止使用root用户启动
描述:
使用root权限去运行网络服务是比较有风险的,应使用普通权限的用户启动influxd服务。
加固建议:
- 使用systemctl启动工具启动:
systemctl start influxd
- 创建influxdb用户并使用root切换到该用户启动服务:
useradd -s /sbin/nolog -M influxdb
sudo -u influxdb <influxd-path>/influxd -config <config_path>/influxdb.conf 2&1>/dev/null &
服务配置
2.中危-修改默认的http 8086端口
描述:
避免使用熟知的端口,降低被初级扫描的风险
加固建议
打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增绑定端口和ip的配置项为非默认端口,例如:bind-address = ":8333"
。修改完成后保存并重启influxdb服务。
3.中危-开启日志记录
描述:
开启日志记录功能,记录用户的操作。
加固建议:
打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增配置项:log-enabled = true
。修改完成后保存并重启influxdb服务。
身份鉴别
4.高危-开启http认证
描述:
influxdb默认关闭http认证,使任意用户可以通过http访问数据库,会导致未授权访问等严重安全问题,需要启用该认证。
加固建议:
打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增配置项:auth-enabled = true
。修改完成后保存并重启influxdb服务。
5.高危-Influxdb登录弱口令
描述:
若系统使用弱口令,存在极大的被恶意猜解入侵风险,需立即修复。
加固建议:
登录influxdb数据库;
根据弱密码告警信息修改具体用户的密码:set password for "用户名" = '新密码'
;其中密码要用单引号引起来。
新口令应符合复杂性要求:
- 长度8位以上
- 包含以下四类字符中的三类字符:
- 英文大写字母(A 到 Z)
- 英文小写字母(a 到 z)
- 10 个基本数字(0 到 9)
- 非字母字符(例如 !、$、#、%、@、^、&)
- 避免使用已公开的弱口令,如:abcd.1234 、admin@123等
入侵防范
6.高危-Influxdb未授权访问
描述:
hc.checklist.defense.influxdb.auth.describe
加固建议:
打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增配置项:
auth-enabled = true
pprof-auth-enabled=true
修改完成后保存并重启influxdb服务。
7.中危-版本存在安全漏洞
描述:
Influxdb以下版本存在漏洞,容易被入侵: Influxdb1.7.6以下的版本存在认证绕过漏洞,攻击者可以通过构造特定的jwt凭据绕过认证访问数据库。https://avd.aliyun.com/detail?id=AVD-02021-0159
加固建议:
更新服务至最新版本,完成漏洞的修复,这些漏洞基于未授权访问或者服务存在弱口令,完成访问认证加固可降低被入侵风险。