Influxdb安全基线

最新推荐文章于 2022-08-22 15:56:39 发布
最新推荐文章于 2022-08-22 15:56:39 发布
阅读量1k 收藏
点赞数
分类专栏: # 基线加固 文章标签: 基线 Influxdb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36531487/article/details/122193835
版权

Influxdb安全基线

访问控制

1.高危-禁止使用root用户启动

描述:

使用root权限去运行网络服务是比较有风险的,应使用普通权限的用户启动influxd服务。

加固建议:

  1. 使用systemctl启动工具启动: systemctl start influxd
  2. 创建influxdb用户并使用root切换到该用户启动服务:
useradd -s /sbin/nolog -M influxdb
sudo -u influxdb <influxd-path>/influxd -config <config_path>/influxdb.conf 2&1>/dev/null &

服务配置

2.中危-修改默认的http 8086端口

描述:

避免使用熟知的端口,降低被初级扫描的风险

加固建议

打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增绑定端口和ip的配置项为非默认端口,例如:bind-address = ":8333"。修改完成后保存并重启influxdb服务。

3.中危-开启日志记录

描述:

开启日志记录功能,记录用户的操作。

加固建议:

打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增配置项:log-enabled = true。修改完成后保存并重启influxdb服务。

身份鉴别

4.高危-开启http认证

描述:

influxdb默认关闭http认证,使任意用户可以通过http访问数据库,会导致未授权访问等严重安全问题,需要启用该认证。

加固建议:

打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增配置项:auth-enabled = true。修改完成后保存并重启influxdb服务。

5.高危-Influxdb登录弱口令

描述:
若系统使用弱口令,存在极大的被恶意猜解入侵风险,需立即修复。

加固建议:
登录influxdb数据库;
根据弱密码告警信息修改具体用户的密码:set password for "用户名" = '新密码' ;其中密码要用单引号引起来。
新口令应符合复杂性要求:

  1. 长度8位以上
  2. 包含以下四类字符中的三类字符:
  • 英文大写字母(A 到 Z)
  • 英文小写字母(a 到 z)
  • 10 个基本数字(0 到 9)
  • 非字母字符(例如 !、$、#、%、@、^、&)
  1. 避免使用已公开的弱口令,如:abcd.1234 、admin@123等

入侵防范

6.高危-Influxdb未授权访问

描述:
hc.checklist.defense.influxdb.auth.describe

加固建议:
打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增配置项:

auth-enabled = true
pprof-auth-enabled=true

修改完成后保存并重启influxdb服务。

7.中危-版本存在安全漏洞

描述:

Influxdb以下版本存在漏洞,容易被入侵: Influxdb1.7.6以下的版本存在认证绕过漏洞,攻击者可以通过构造特定的jwt凭据绕过认证访问数据库。https://avd.aliyun.com/detail?id=AVD-02021-0159

加固建议:

更新服务至最新版本,完成漏洞的修复,这些漏洞基于未授权访问或者服务存在弱口令,完成访问认证加固可降低被入侵风险。

zhangwenbo1229
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全基线检查表
11-16
包含:路由器、交换机、防火墙、ESXI、F5、IIS7、Linux、Oracle、solaris、sqlserver、windows基线检查
influxdb基础---介绍和配置
约会远行的专栏
09-11 9085
介绍 安装最新版本 v1.6.2 集群版本要收费,单机版本免费 内部集成的web控制台模块从1.3开始就被去掉了 安装 以centos为例,其他的 参考官网 安装 RedHat &amp;amp;amp;amp;amp;amp;amp;amp; CentOS SHA256: fbe635db1402b0427b32b7268d291093fc97ae888b1a68087dbc1dd39e0ddf67 wget https://dl...
防火墙完整检查表 安全基线
08-22
防火墙完整检查表 安全基线
InfluxDB安装以及使用
热门推荐
weixin_42499516的博客
12-31 2万+
一、简介 InfluxDB是一种时序数据库,用来存放监控数据。InfluxDB 是用Go语言编写的一个开源分布式时序、事件和指标数据库,无需外部依赖。 其主要特色功能 1)基于时间序列,支持与时间有关的相关函数(如最大,最小,求和等) 2)可度量性:你可以实时对大量数据进行计算 3)基于事件:它支持任意的事件数据 InfluxDB的主要特色 1)无结构(无模式):可以是任意数量的列 2)可拓展的 3)支持min, max, sum, count, mean, median 等一系列函数,方
InfluxDB详解-时序数据库
哈利路亚的收藏夹
05-23 6241
InfluxDB(时序数据库)(influx,[ˈɪnflʌks],流入,涌入),常用的一种使用场景:监控数据统计。每毫秒记录一下电脑内存的使用情况,然后就可以根据统计的数据,利用图形化界面(InfluxDB V1一般配合Grafana)制作内存使用情况的折线图;可以理解为按时间记录一些数据(常用的监控数据、埋点统计数据等),然后制作图表做统计; InfluxDB自带的各种特殊函数如求标准差,随机取样数据,统计数据变化比等,使数据统计和实时分析变得十分方便,适合用于包括DevOps监控,应用程序指标,物联
InfluxDB 未授权访问漏洞复现
weixin_52125240的博客
03-16 9643
InfluxDB 未授权访问漏洞复现 前言:第一次复现漏洞,肯定会有很多不足的地方,这也是
influxdb2的使用
drhrht的博客
07-27 4936
influxdb中的连续查询功能是对外提供的对数据处理的功能,如为了预防我们的存储日志过大会建立起保存策略,超过设置的超时时间数据就丢失了。针对这种情况,我们可以通过连续查询功能,对用户的数据进行汇总、抽样等操作,再插入到另外的表中即可,虽然丢失了一定的精度,但是让数据占用的空间大大减小。对influxdb操作,最基本的是通过内置的influx命令完成,或者在程序中使用httpapi完成操作,这里以infux为例,简单介绍下读数据、写数据、和删除数据的基础操作,形成基本认识。...
influxdb未授权访问漏洞
ADummy的博客
02-18 4051
influxdb未授权访问漏洞 by ADummy 0x00利用路线 ​ Influxdb http query接口—> 生成jwt凭证绕过认证 —>任意sql语句执行 0x01漏洞介绍 ​ InfluxDB是一个使用Go语言编写的开源分布式,支持高并发的时序数据库,其使用JWT作为鉴权方式。在用户开启了认证,但未设置参数shared-secret的情况下,JWT的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在InfluxDB中执行SQL语句。 ​ 影响版本 Discuz &
EasyCVR平台安全扫描提示Go pprof调试信息泄露的解决办法
TSINGSEE青犀视频官方技术博客
07-21 1533
EasyCVR部署简单、兼容性高,平台采用分布式部署,可对外提供统一的API接口,实现连接设备、连接数据、连接应用,便于第三方平台快速集成。
influxDB 入门教程及使用过程中遇到的问题
lxw1844912514的博客
08-22 7257
关于influxDB,修改过端口号无法连接的问题
SuperSQL注入.rar
07-21
一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 目前支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 1.支持任意地点出现的任意SQL注入 2.支持各种语言环境。大多数注入工具在盲注下,无法获取中文等多字节编码字符内容,本工具可完美解决。 3.支持注入数据发包记录。让你了解程序是如何注入,有助于快速学习和找出注入问题。 4.依靠关键字进行盲注,可通过HTTP相应状态码判断,还可以通过关键字取反功能,反过来取关键字。
安全加固基线大全
02-07
共33份基线文件,包括,主流操作系统安全加固基线,主流网络设备安全加固基线,主流中间件安全加固基线,主流数据库安全加固基线
安全整改基线标准
04-26
安全整改基线标准
Linux安全配置基线
04-19
详细描述了有关linux系统的配置过程和要求
数据库- InfluxDB安装部署问题排查【运维了解这一篇就够了!】
鬼刺
04-16 3879
hh
influxdb基础---http参考
约会远行的专栏
09-13 6312
基于influxdb1.6.2、centOS influxdb HTTP API提供了与数据库交互的简单方法。它使用HTTP响应代码、HTTP认证、JWT令牌和基本身份验证,并以JSON形式返回响应。 InfluxDB HTTP地址参考 地址路径 描述 /debug/pprof /debug/pprof为故障诊断生成概要文件 /debug/requ...
2022-03-09 influxdb-数据安全-tsm存储引擎写入失败导致内存cache遗留脏数据
技术之路
03-09 563
目录 摘要: tsm引擎写入函数: 关键点: 摘要: influxdb的tsm存储引擎先写入cache, 再写入wal. wal写入失败没有清理cache中的数据, 造成写入失败时依然会被从内存中读到. 一旦influxd进程未将cache写入tsm文件的情况下重启, 将导致已查出的数据丢失. tsm引擎写入函数: // WritePoints writes metadata and point data into the engine. // It r..
influxdb内存消耗分析及性能优化「追踪篇」
360技术
03-22 5466
背景由于业务场景需求,在生产环境服务器(32core64G)搭建了基于golang开发的influx时序数据库v1.8版本 ,经过持续一周的运行之后(每天写入约100G数据),发现服务器内...
InfluxDb2.0使用与集成
记录学习,记录工作,记录生活,记录人生。
10-12 8571
一、场景 InfluxDb是一个开源时序型数据库,相对于MySql等关系型数据库,InfluxDb更适应于存储日志/监控信息或物联网采集时间相关性信息等场景 二、安装及使用 官网: InfluxDB: Purpose-Built Open Source Time Series Database | InfluxData 下载安装指引:Install InfluxDB | InfluxDB OSS 2.0 Documentation 指...
PostgreSQL安全基线
最新发布
03-20
PostgreSQL安全基线是指一组安全配置和施,用于保护PostgreSQL数据库免受潜在的安全威胁攻击。以下是一些常见的PostgreSQL安全基线配置和措施: 1. 强密码策略:确保所有用户都使用强密码,并定期更改密码。密码应包含大小写字母、数字和特殊字符,并且长度应足够长。 2. 定期更新和升级:及时应用PostgreSQL的安全补丁和更新,以修复已知的漏洞和安全问题。 3. 最小权限原则:为每个用户分配最小必要的权限,避免赋予过高的权限。使用角色和权限管理功能来限制用户对数据库的访问和操作。 4. 安全连接:使用SSL/TLS协议来加密数据库连接,确保数据在传输过程中的机密性和完整性。禁用不安全的连接方式,如明文传输密码。 5. 防火墙和网络隔离:使用防火墙来限制对PostgreSQL服务器的访问,并将数据库服务器放置在安全的网络环境中,与公共网络隔离。 6. 审计和日志记录:启用审计功能,记录数据库的活动和事件。定期检查日志文件,及时发现异常行为和潜在的安全威胁。 7. 数据备份和恢复:定期备份数据库,并将备份数据存储在安全的位置。测试和验证备份的可用性,以便在需要时能够快速恢复数据。 8. 强制访问控制:使用访问控制列表(ACL)和行级安全(RLS)等功能,限制用户对数据库对象的访问和操作。 9. 安全审计和漏洞扫描:定期进行安全审计和漏洞扫描,发现和修复潜在的安全问题。 10. 安全培训和意识:提供安全培训和意识活动,教育用户和管理员有关数据库安全的最佳实践和常见威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值