【洋葱】洋葱管理系统zookeeper未授权漏洞整改方案

最新推荐文章于 2024-08-28 10:57:06 发布
最新推荐文章于 2024-08-28 10:57:06 发布
阅读量713 收藏
点赞数
文章标签: zookeeper iptables 未授权漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010638673/article/details/80006562
版权

 

洋葱

洋葱管理系统zookeeper未授权漏洞整改方案

使用root账号分别对192.168.xx.54,192.168.xx.55,192.168.xx.56三台服务器的zookeeper服务端口2181端口进行本地防火墙白名单限制。操作步骤如下:

1、防火墙策略备份

使用root账号输入命令:

iptables-save >/app/iptables.bak

2、策略配置

(1#、2#...12#,表示操作步骤)

1#    iptables -P INPUT ACCEPT                                      --设置所有请求均可访问

2#    iptables -F                                                              --清除预设表filter中的所有规则链的规则

3#    iptables -L -n                                                          --查看定义规则的详细信息

4#    /etc/rc.d/init.d/iptables save                                   --保存防火墙策略配置

5#    service iptables restart                                            --重启防火墙

6#    iptables -A INPUT  -p tcp --dport 22 -j ACCEPT      --开放目的 22端

7#    iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT     --开放输入22端口

8#

iptables -A INPUT -i lo -j ACCEPT                                    --对 lo 回环网卡进行允许

iptables -I INPUT -p tcp --dport 2181 -j DROP                 --设置关闭所有2181请求

9#                                                                                   --限制只有指定IP45-59访问内访问指定端口2181

iptables -I INPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-ptcp --dport 2181 -j ACCEPT

iptables -I OUTPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-p tcp --dport 2181 -j ACCEPT

iptables -I INPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59 -ptcp --dport 2888 -j ACCEPT

iptables -I OUTPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-p tcp --dport 2888 -j ACCEPT

iptables -I INPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-ptcp --dport 3888 -j ACCEPT

iptables -I OUTPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-p tcp --dport 3888 -j ACCEPT

10#/etc/rc.d/init.d/iptables save                                      --保存防火墙策略配置

11# service iptablesrestart                                               --重启防火墙

12# service iptablesstatus                                                --查看防火墙策略

3、验证方案

A.登录洋葱服务控制台查看检索是否正常;

B.登录洋葱前台查看服务是否正常;

C.使用洋葱非白名单IP段服务器使用命令:

echo envi|nc 192.168.xx.54 2181

echo envi|nc 192.168.xx.55 2181

echo envi|nc 192.168.xx.56 2181

查看是否可以看到服务器环境信息。

4、回退方案

关闭防火墙服务:serviceiptables stop

还原防火墙策略

使用root账号输入命令:

iptables-restore</app/iptables.bak

 

掘金者说
关注
专栏目录
web渗透测试漏洞复现:ZooKeeper授权漏洞复现
HACKONE的博客
03-30 1017
ZooKeeper 是一个分布式的、开源的协调服务,最初由雅虎开发,现隶属于 Apache 软件基金会,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件,旨在为大型分布式系统提供一致性的服务。ZooKeeper 的设计目的是简化分布式应用程序的开发和维护,它通过提供一组简单易用的原语和数据模型,为分布式系统中的进程提供协作服务。
Zookeeper授权访问漏洞修复
码农养家
09-18 876
Zookeeper授权访问漏洞修复
zookeeper安全漏洞修复
01-17
ZooKeeper 授权访问【原理扫描】,zookeeper安全漏洞修复方法和操作步骤
zookeeper授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 4100
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
Zookeeper授权访问的漏洞处理
最新发布
Jeuneke的博客
08-28 461
这个命令可以用于获取Zookeepr(下面有zk代替)目标服务器的环境信息、部署路径、版本等敏感信息。如果这些信息被恶意利用,确实可能导致安全漏洞,进而对网络和服务器安全构成威胁。设置权限后,不同的IP服务器还是能访问到,zookeeper相应的路径,版本,还是有安全隐患.1.执行zkCli.sh 命令后,查看zk的当前权限。配置防火墙策略,只允许指定IP访问2181端口。anyone任何人可以访问。
zookeeper授权访问漏洞修复
weixin_43966996的博客
05-08 2555
zookeeper进行服务ACL限制访问。
ZooKeeper 授权访问漏洞处理方法
08-31
ZooKeeper 授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
Linux-ZooKeeper授权访问漏洞修复方案
weixin_44281516的博客
04-27 2625
直接访问url https://blog.csdn.net/baidu_39459954/article/details/90748332
zookeeper授权访问修复建议
07-14
ZooKeeper 授权访问修复建议 ZooKeeper 作为一个分布式应用程序协调服务,提供了高效、可靠的分布式锁、队列、节点管理等功能。但是,如果 ZooKeeper 没有正确地配置访问权限,就可能会出现授权访问的问题,...
zookeeper授权访问漏洞处理
热门推荐
weixin_50016127的博客
06-27 1万+
zookeeper授权访问漏洞处理
Kafka集群之-ZooKeeper授权访问漏洞修复
weixin_39863120的博客
07-01 1331
配置 ZooKeeper 的配置文件,修改 文件,添加以下内容: 二、创建 JAAS 文件 在 ZooKeeper 的安装目录下的 目录中创建 文件,并编辑内容如下: 的含义是 ,添加一个用户名为 ,密码为 的认证用户,用户名和密码可以自行定义。因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 文件中的 配置,会在连接时使用用户名和密码。 四、重启 ZooKeeper 服务 重启 ZooKeeper 服务,正常启动一般便无问题。
ZooKeeper通过ACL修复授权访问漏洞
05-06
ZooKeeper通过ACL修复授权访问漏洞,此文档适合学习
关于Zookeeper授权访问漏洞的解决办法
DreamsArchitects的博客
09-12 9736
一、介绍 搭建完zookeeper集群后,收到了关于zookeeper漏洞信息: 我们在使用zookeeper提供的服务的时候会发现,只要知道zk服务端的IP和Port,任务用户或者客户端根本不需要任何的认证就可以连上zk的服务端,并且可以对znode进行增删等操作。这样数据是非常不安全的,极易被攻击和篡改。 zookeeper解决这个问题的手段是ACL(access control list)机制,即访问控制列表。 1.权限操作 权限permission:zookeeper目前支持下面一些权限: C
漏洞修复 Zookeeper、MySQL、Elasticsearch
yuansheng730的博客
02-13 1698
zookeeper、MySQL、Elasticserch、http 相关漏洞修复
ZooKeeper授权访问漏洞确认与修复
sdujava2011
02-27 3691
Zookeeper授权访问漏洞确认与修复
漏洞扫描,zookeeper授权访问漏洞复现及修复
ChaoandPeng的博客
06-29 5596
ZooKeeper默认开启在2181端口,在进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。0x00 ZooKeeper 安装: Zookeeper的默认开放端口是2181wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.10/zookeeper-3.4.10.tar.gztar -zxvf zookeepre-3.4.10.tar.gz cd zooke
zookeeper授权漏洞复现及处理
kofterry的专栏
09-18 3791
不知道你有没有注意,zk服务端启动后,默认会启动这几个具有world和cdrwa权限的znode,“/” "/zookeeper" "/zookeeper/config"和"/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。重要的是构建环境把我在配置文件配置的user信息给删掉了(我不知道)才开始跑的,更坑的是它运行完后直接清除日志了,哪里错了都看不到。
CVE-2014-0085 zookeeper授权访问POCsuite自动化脚本
afei001
07-27 749
这是基于POCsuite的zookeeper授权访问POCsuite自动化脚本。
如何快速上手 Zookeeper 授权漏洞_zookeeper-unauth(1)
2401_83946044的博客
04-16 508
第一步:我们需要先连接上 Zookeeper 并得到数据,搜索一下 node.js 有没有相关连接 Zookeeper 的模块,运气很好找到了node-zookeeper-client这个模块,它提供了连接函数和一些处理数据的函数。第二步:我们的 extension.js 需要和弹出的 html 窗口进行双向的数据传输,这里参考了@go0p 师傅的 Redis-cli 插件写法(下载完插件在 extensions 目录下找到插件文件夹查看)。extension.js 内容如下。
zookeeper授权漏洞修复
09-20
授权访问是ZooKeeper的一个安全漏洞,可以通过以下方法修复该漏洞: 1. 修复办法一(推荐):在ZooKeeper配置文件中启用ACL(访问控制列表),并配置正确的权限。ACL可以控制谁可以访问ZooKeeper节点和执行哪些操作。配置ACL后,只有经过授权的用户才能访问ZooKeeper节点。 2. 修复办法二:使用ZooKeeper提供的命令行工具或API,在ZooKeeper中为节点设置ACL。可以为节点设置不同级别的权限,例如只读、读写等。 3. 修复办法三(需要改程序):在ZooKeeper客户端代码中添加认证信息,以确保连接到ZooKeeper服务器时进行身份验证。可以使用用户名和密码进行认证,或者使用其他认证机制如Kerberos。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

掘金者说

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值