【安全问题】ZooKeeper未授权访问-zookeeper存在未授权访问漏洞

最新推荐文章于 2024-06-06 17:55:16 发布
最新推荐文章于 2024-06-06 17:55:16 发布
阅读量4.1k 收藏 8
点赞数 3
分类专栏: zookeeper 文章标签: zookeeper
原文链接:https://blog.csdn.net/fengdijiang/article/details/100222232?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.add_param_isCf&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.add_pa
版权

修复办法一(推荐指定IP白名单):
1. 找到目录 zkCli.sh文件目录

find / -name zkCli.sh
2. 进入目录

cd /opt/zookeeper-3.4.12/bin/
3. 登录zk
./zkCli.sh  -server zkip:zk端口
4. 查看当前权限:
getAcl /
5、添加可访问IP
setAcl / ip:192.168.1.xx:cdrwa,ip:192.168.1.xx:cdrwa
6、查看当前访问ip权限

未授权也可以连接,但是查看节点时会报错"KeeperErrorCode = NoAuth for /",localhost都不行,必须填可访问IP,才能访问。

 

回退办法:
1.  使用之前设置的IP进行访问:(如果未使用设置的ip进行访问只能查看,修改会报未授权错误)

./zkCli.sh  -server zkip:zk端口

设置为所有人可访问:
setAcl / world:anyone:cdrwa

ZK的节点有5种操作权限:
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)
注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限

身份的认证有4种方式:
world:默认方式,相当于全世界都能访问
auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest:即用户名:密码这种方式认证,这也是业务系统中最常用的
ip:使用Ip地址认证

 

 

修复办法二:

配置防火墙策略,只允许指定IP访问2181端口。
Linux 6:

 

  1. iptables -I INPUT -p tcp --dport 2181 -j DROP

  2. iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT

  3. iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT

  4. iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT

  5. service iptables save

  6. service iptables restart

  7. iptables -L

Linux 7:

 

  1. firewall-cmd --zone=public --remove-port=2181/tcp --permanent

  2. firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.0.2.181" port protocol="tcp" port="2181" accept"

  3. firewall-cmd --reload

  4. firewall-cmd --list-all

 

修复办法三(需要改程序):
1)增加一个认证用户
addauth digest 用户名:密码明文
eg. addauth digest user1:password1
2)设置权限
setAcl /path auth:用户名:密码明文:权限
eg. setAcl /test auth:user1:password1:cdrwa
3)查看Acl设置
getAcl /path

//-------------setAcl /path digest:用户名:密码密文:权限   //注:这里的加密规则是SHA1加密,然后base64编码。

 

为ZooKeeper配置相应的访问权限。
方式一:
1)增加一个认证用户
addauth digest 用户名user1:密码明文password1

addauth digest user1:password1

2)设置权限
setAcl /path auth:用户名user1:密码明文password1:权限
setAcl /path digest:用户名user1:密码密文xxxx:权限

setAcl /test auth:user1:password1:cdrwa

3)查看Acl设置

getAcl /path

 

leo_KING999
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ZooKeeper授权访问
千寻的博客
11-09 1279
ZooKeeper是一个高性能的分布式数据一致性解决方案,它将复杂的,容易出错的分布式一致性服务封装起来,构成一个高效可靠的原语集,并提供一系列简单易用的接口给客户使用。ZooKeeper默认开启在2181端口,在进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。
zookeeper授权漏洞复现及处理
kofterry的专栏
09-18 3677
不知道你有没有注意,zk服务端启动后,默认会启动这几个具有world和cdrwa权限的znode,“/” "/zookeeper" "/zookeeper/config"和"/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。重要的是构建环境把我在配置文件配置的user信息给删掉了(我不知道)才开始跑的,更坑的是它运行完后直接清除日志了,哪里错了都看不到。
zookeeper授权访问漏洞处理
热门推荐
weixin_50016127的博客
06-27 1万+
zookeeper授权访问漏洞处理
Apache ZooKeeper 授权访问
自强不息
05-09 1015
人生中有些事你不竭尽所能去做,你永远不知道你自己有多出色
存在 ZooKeeper 授权访问【原理扫描】--通过防火墙策略进行修复
最新发布
qyq88888的专栏
06-06 508
ELK集群存在 ZooKeeper 授权访问【原理扫描】
ZooKeeper 授权访问漏洞利用
tangshuangsss的专栏
12-21 7660
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,它是一个为分布式应用提供一致性服务的软...
Zookeeper授权访问利用
cj_Hydra's Blog
08-05 4518
前言: ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 Zookeeper 的默认开放端口是2181。Zookeeper 安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用 Zookeeper,通过服务器收集敏感信息或者在 Zookeeper 集群内进行破坏(比如:kill命令)。攻击者能够执
zookeeper授权访问修复建议
07-14
但是,如果 ZooKeeper 没有正确地配置访问权限,就可能会出现授权访问问题,本文将为读者提供 ZooKeeper 授权访问修复建议。 一、 ZooKeeper 访问权限配置 ZooKeeper访问权限配置是通过 ACL(Access ...
ZooKeeper 授权访问漏洞处理方法
08-31
ZooKeeper 授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
99-web漏洞挖掘之授权访问漏洞1
08-03
授权访问漏洞】是指那些本应受到安全配置或权限认证保护的系统资源或服务,由于配置不当,允许任何用户经身份验证即可直接访问。这种漏洞可能导致敏感信息泄露、重要功能被恶意操作,严重威胁企业的数据安全。...
ZooKeeper通过ACL修复授权访问漏洞
05-06
ZooKeeper通过ACL修复授权访问漏洞,此文档适合学习
修复zookeeper授权访问漏洞
qq_28392947的博客
01-12 2048
【代码】修复zookeeper授权访问漏洞
Apache Zookeeper 授权访问漏洞【原理扫描】
萌兔兔MMQ!!
11-25 1万+
漏洞名称 Apache Zookeeper 授权访问漏洞【原理扫描】风险等级 高高可利用 否CVE编号 -端口(服务) 2181(zookeeper)风险描述 ZooKeeper是一个高性能的分布式数据一致性解决方案,它将复杂的,容易出错的分布式一致性服务封装起来,构成一个高效可靠的原语集,并提供一系列简单易用的接口给客户使用。ZooKeeper默认开启在2181端口,在进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。
zookeeper授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 3337
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
授权访问ZooKeeper 授权访问漏洞
qq_68163788的博客
05-15 1685
zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
zookeeper鉴权访问漏洞处理
weixin_44704406的博客
12-27 5963
zookeeper鉴权访问漏洞处理
Zookeeper授权访问漏洞
黑伴白的博客
01-30 3390
Zookeeper授权访问漏洞 默认安装配置完的zookeeper允许授权访问,管理员配置访问控制列表(ACL)。导致攻击者可以在默认开放的2181端口下通过执行envi命令获得大量敏感信息(系统名称、java环境)导致任意用户可以在网络不受限的情况下进行授权访问读取数据甚至杀死服务。 原因:默认的ACL中进行限制访问 连接zookeeper ./zkCli.sh -server 199.188.166.110:2181 查看当前权限 默认所有人可访问 getAcl / 添加可访问IP s
zookeeper授权访问漏洞
05-01
Zookeeper是一个开源的分布式协调服务,它主要用于分布式系统中的配置管理、命名服务、同步服务和集群控制等方面。然而,在使用Zookeeper时,存在一个授权访问漏洞。这个漏洞可以让攻击者通过授权的方式获取Zookeeper的敏感信息,从而导致系统的失效和安全问题。 当攻击者利用这个漏洞时,他们可以轻松地访问Zookeeper节点和数据,而不需要任何授权和认证。这意味着攻击者可以轻松地查看节点上的数据、更改配置和控制集群,甚至可以对节点执行恶意操作,从而导致系统完全失效。 为了避免这个漏洞对系统造成的影响,我们需要采取一系列措施来保护Zookeeper。首先,我们需要设置Zookeeper访问控制,通过用户名和密码来限制对节点的访问。其次,我们需要对节点进行加密,确保敏感信息不被泄露。最后,我们需要确保Zookeeper的软件版本是最新的,并且及时修补漏洞。 总之,Zookeeper授权访问漏洞是一个存在风险的漏洞,需要我们重视。我们需要采取多重措施来保护Zookeeper节点的安全,防止攻击者利用漏洞造成的损失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值