ZooKeeper未授权访问

最新推荐文章于 2024-07-28 16:45:11 发布
最新推荐文章于 2024-07-28 16:45:11 发布
阅读量2.2k 收藏 3
点赞数
文章标签: 大数据 设计模式
原文链接:http://www.cnblogs.com/someone9/p/10063982.html
版权

1.ZooKeeper概述

ZooKeeper是一个高性能的分布式数据一致性解决方案,它将复杂的,容易出错的分布式一致性服务封装起来,构成一个高效可靠的原语集,并提供一系列简单易用的接口给客户使用

1.1 应用场景:

数据订阅

命名服务:提供名称

1.2 集群角色:

Leader服务器是整个zookeeper集群工作机制的核心

Follower服务器是zookeeper集群状态的跟随着

Observer服务器充当一个观察者角色

Leader,Follower设计模式

Observer 观察者设计模式

2.ZooKeeper未授权访问

ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。

2.1攻击获取信息

stat:列出关于性能和连接的客户端的统计信息。
echo stat |ncat 127.0.0.1 2181

ruok:测试服务器是否运行在非错误状态。
echo ruok |ncat 127.0.0.1 2181

 

 Imok:正常运行

reqs:列出未完成的请求。
echo reqs |ncat 127.0.0.1 2181

 

envi:打印有关服务环境的详细信息。
echo envi |ncat 127.0.0.1 2181

dump:列出未完成的会话和临时节点。
echo dump |ncat 127.0.0.1 2181

 

3.漏洞修复:

禁止把Zookeeper直接暴露在公网

添加访问控制,根据情况选择对应方式(认证用户,用户名密码)

绑定指定IP访问

 

转载于:https://www.cnblogs.com/someone9/p/10063982.html

weixin_30335353
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Zookeeper授权访问漏洞修复
码农养家
09-18 712
Zookeeper授权访问漏洞修复
ZooKeeper 授权访问
qq_45746747的博客
04-23 1267
默认开启在2181端口,在进行任何访问控制情况下,攻击者可通过执行en获得系统大量的敏感信息,包括系统名称、Java环境.
存在 ZooKeeper 授权访问【原理扫描】--通过防火墙策略进行修复
qyq88888的专栏
06-06 521
ELK集群存在 ZooKeeper 授权访问【原理扫描】
zookeeper授权访问漏洞修复
weixin_43966996的博客
05-08 1255
zookeeper进行服务ACL限制访问
修复zookeeper授权访问漏洞
qq_28392947的博客
01-12 2075
【代码】修复zookeeper授权访问漏洞。
授权访问ZooKeeper 授权访问漏洞
qq_68163788的博客
05-15 1745
zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
Zookeeper授权访问漏洞
Kevin's Blog
05-11 1万+
文章目录一、简单介绍二、漏洞原因三、影响版本四、检测方法五、防御措施 一、简单介绍  &ems;Zookeeper是一个分布式开放源码的分布式应用程序(分布在不同计算机上,客户端/服务端模式)协调服务,是Hadoop和HBase的重要组件。 目标:封装好复杂易出错的关键业务; 用处:统一命名服务、域名服务、分布式同步、状态同步服务、集群管理等 二、漏洞原因  &ems;默认安装配置完的zookeeper允许授权访问,管理员配置访问控制列表(ACL)。导致攻击者可以在默认开放的2181
zookeeper授权访问漏洞处理
热门推荐
weixin_50016127的博客
06-27 1万+
zookeeper授权访问漏洞处理
zookeeper授权访问修复建议
萌兔兔MMQ!!
11-21 2013
setAcl /path auth:用户名:密码明文:权限。addauth digest 用户名:密码明文。为ZooKeeper配置相应的访问权限。1)增加一个认证用户。
Zookeeper授权访问利用
cj_Hydra's Blog
08-05 4520
前言: ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 Zookeeper 的默认开放端口是2181。Zookeeper 安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用 Zookeeper,通过服务器收集敏感信息或者在 Zookeeper 集群内进行破坏(比如:kill命令)。攻击者能够执
ZooKeeper 授权访问漏洞处理方法
08-31
ZooKeeper 授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
Zookeeper授权访问测试问题
01-20
 zookeeper 授权访问是指安装部署之后默认情况下不需要任何身份验证,从而导致 zookeeper 被远程利用,导致大量服务级别的信息泄露。  默认使用端口:2181、2182。 探测Zookeeper服务开放  如使用nmap探测某个...
分布式系统常见软件架构模式
Ben的专栏
07-25 970
简而言之,有效管理数据和通信流对于构建健壮且可扩展的分布式系统至关重要。对等、API 网关、发布-订阅、请求-响应、事件溯源、ETL、批处理、流处理和编排等架构模式提供了有价值的解决方案,以应对系统设计和实现中的各种挑战。通过理解这些软件架构和分布式系统模式及其各自的优势和权衡,架构师和开发人员可以做出明智的决策,设计出满足其应用程序和用户不断变化的需求的系统。
消息队列-rabbitmq(生产者.消费者. 消息.可靠性)
最新发布
2202_75352238的博客
07-28 331
在我们 生产者发送消息到交换机的时候,假如 我们发送到交换机 ,但是 队列没有收到消息,会返回ack,发送到交换机,然后发送到队列,消费者没有接收到消息返回ack,但是发送到交换机失败,会返回nack。死信交换机 ,都是假如一个定时消息过期了,或者发送延迟消息我们直接把该消息传递到我们绑定的死信交换机中,跟上文 消息发送失败了返回rejct之后,消息发送到err交换机是两种不同的策略。当一条消息发送失败的时候,消费者重新尝试消费消息,达到我们重试的次数之后,消费者返回reject,mq直接删除消息。
江苏科技大学24计算机考研数据速览,有专硕复试线大幅下降67分!
m0_72717598的博客
07-23 521
江苏科技大学(Jiangsu University of Science and Technology),坐落在江苏省镇江市,是江苏省重点建设高校,江苏省人民政府与中国船舶集团有限公司共建高校,国家国防科技工业局与江苏省人民政府共建高校 ,教育部卓越工程师教育培养计划高校,教育部本科教学工作水平评估优秀学校,江苏省高水平大学建设高峰计划B类建设高校,中国船舶与海洋工程产业知识产权联盟、江苏船舶与海洋类高校协同发展联盟牵头单位。其中,研究生新生学业奖学金特等奖3万,一等奖1.2万,二等奖0.8万;
Kafka知识总结(选举机制+控制器+幂等性)
月伴飞鱼
07-27 912
其他Broker启动时也会在Zookeeper中创建临时节点,但是发现节点已经存在,所以它们会收到一个异常,意识到控制器已经存在,那么就会在Zookeeper中创建Watch对象,便于它们收到控制器变更的通知。他只能保证单分区上的幂等性,即一个幂等性Producer只能够保证某个topic的一个分区上不出现重复消息,无法实现多分区的幂等。控制器上保存了最全的集群元数据信息,其他所有 Broker 会定期接收控制器发来的元数据更新请求,从而更新其内存中的缓存数据。目前,当有新 Broker 启动后,它会在。
zookeeper授权访问漏洞
05-01
然而,在使用Zookeeper时,存在一个授权访问漏洞。这个漏洞可以让攻击者通过授权的方式获取Zookeeper的敏感信息,从而导致系统的失效和安全性问题。 当攻击者利用这个漏洞时,他们可以轻松地访问Zookeeper...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值