洋葱
洋葱管理系统zookeeper未授权漏洞整改方案
使用root账号分别对192.168.xx.54,192.168.xx.55,192.168.xx.56三台服务器的zookeeper服务端口2181端口进行本地防火墙白名单限制。操作步骤如下:
1、防火墙策略备份
使用root账号输入命令:
iptables-save >/app/iptables.bak
2、策略配置
(1#、2#...12#,表示操作步骤)
1# iptables -P INPUT ACCEPT --设置所有请求均可访问
2# iptables -F --清除预设表filter中的所有规则链的规则
3# iptables -L -n --查看定义规则的详细信息
4# /etc/rc.d/init.d/iptables save --保存防火墙策略配置
5# service iptables restart --重启防火墙
6# iptables -A INPUT -p tcp --dport 22 -j ACCEPT --开放目的 22端口
7# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT --开放输入22端口
8#
iptables -A INPUT -i lo -j ACCEPT --对 lo 回环网卡进行允许
iptables -I INPUT -p tcp --dport 2181 -j DROP --设置关闭所有2181请求
9# --限制只有指定IP45-59访问内访问指定端口2181
iptables -I INPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-ptcp --dport 2181 -j ACCEPT
iptables -I OUTPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59 -ptcp --dport 2888 -j ACCEPT
iptables -I OUTPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-p tcp --dport 2888 -j ACCEPT
iptables -I INPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-ptcp --dport 3888 -j ACCEPT
iptables -I OUTPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-p tcp --dport 3888 -j ACCEPT
10#/etc/rc.d/init.d/iptables save --保存防火墙策略配置
11# service iptablesrestart --重启防火墙
12# service iptablesstatus --查看防火墙策略
3、验证方案
A.登录洋葱服务控制台查看检索是否正常;
B.登录洋葱前台查看服务是否正常;
C.使用洋葱非白名单IP段服务器使用命令:
echo envi|nc 192.168.xx.54 2181
echo envi|nc 192.168.xx.55 2181
echo envi|nc 192.168.xx.56 2181
查看是否可以看到服务器环境信息。
4、回退方案
关闭防火墙服务:serviceiptables stop
还原防火墙策略
使用root账号输入命令:
iptables-restore</app/iptables.bak