OpenShift 4 - 解决 OpenShift 中 elasticsearch 环境的 Log4j 漏洞

最新推荐文章于 2022-04-01 14:34:45 发布
最新推荐文章于 2022-04-01 14:34:45 发布
阅读量1.4k 收藏
点赞数
分类专栏: OpenShift 4 安全 DevOps 文章标签: log4j docker kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/122224162
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 77 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总

OpenShift 使用的 elasticsearch 会受到 Log4j 的安全漏洞影响,可以使用以下方法屏蔽安全漏洞。

文章目录

OpenShift 3

  1. 修改 elasticsearch 使用的 Java参数
$ oc project openshift-logging

$ oc get dc -l component=es
NAME                              REVISION   DESIRED   CURRENT   TRIGGERED BY
logging-es-data-master-9fgtlhi4   1          1         1

$ oc set env -c elasticsearch dc/logging-es-data-master-9fgtlhi4 ES_JAVA_OPTS="-Dlog4j2.formatMsgNoLookups=true"
$ oc set env -c elasticsearch dc -l component=es --list | grep ES_JAVA_OPTS

$ oc scale dc/logging-es-data-master-9fgtlhi4 --replicas=0
$ oc rollout latest dc/logging-es-data-master-9fgtlhi4
$ oc scale dc/logging-es-data-master-9fgtlhi4 --replicas=1
  1. 验证
for es_pod in $(oc get pods -l component=es --no-headers -o jsonpath='{range .items[?(@.status.phase=="Running")]}{.metadata.name}{"\n"}{end}'); \
   do echo "Confirm changes on $es_pod" ;  sleep 1 ; \
   oc rsh -Tc elasticsearch $es_pod ps auxwww | grep log4j2.formatMsgNoLookups ; sleep 3; \
   done

for es_pod in $(oc get pods -l component=es --no-headers -o jsonpath='{range .items[?(@.status.phase=="Running")]}{.metadata.name}{"\n"}{end}'); \
   do echo "Confirm changes on $es_pod" ;  sleep 1 ; \
   oc rsh -Tc elasticsearch $es_pod printenv | grep ES_JAVA_OPTS ; sleep 3; \
   done

OpenShift 4

  1. 修改 elasticsearch 使用的 Java参数
$ oc project openshift-logging

$ oc get deployment -l component=elasticsearch
NAME                                      REVISION   DESIRED   CURRENT   TRIGGERED BY
elasticsearch-cdm-ba9c6evk-1-796f6cfdbc   1          1         1

$ oc patch deployment/elasticsearch-cdm-ba9c6evk-1-796f6cfdbc --type=merge -p '{"spec":{"paused": false}}'
$ oc set env deployment/elasticsearch-cdm-ba9c6evk-1-796f6cfdbc -c elasticsearch ES_JAVA_OPTS="-Dlog4j2.formatMsgNoLookups=true"
$ oc set env -c elasticsearch deployment -l component=elasticsearch --list | grep ES_JAVA_OPTS

$ oc scale deployment/elasticsearch-cdm-ba9c6evk-1-796f6cfdbc --replicas=0
  1. 验证
$ oc get pods -l component=elasticsearch

$ oc set env -c elasticsearch pods -l component=elasticsearch --list | grep ES_JAVA_OPTS

$ oc exec -c elasticsearch elasticsearch-cdm-ba9c6evk-1-796f6cfdbc-4dqc6 -- grep -a log4j2.formatMsgNoLookups /proc/1/cmdline
dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift-elasticsearch:Openshift 的弹性搜索盒。 它包括 Kibana 4 作为其仪表板并使用 Nginx 1.7 作为代理服务器
06-13
OpenShift Elasticsearch 磁带 此卡式盒提供 Elasticsearch 集群作为带有 Kibana 4.0 仪表板的独立应用程序。 Kibana 在根/ ,Elasticsearch 在/elasticsearch elasticsearch 上提供服务。 还配置了健康检查 url 并且位于/health 。 要创建您的 Elasticsearch 应用程序,请运行: rhc app-create https://cartreflect-claytondev.rhcloud.com/github/ajagnanan/openshift-elasticsearch -a <app> 如果要创建 Elasticsearch 集群,请附加标志--scaling : rhc app-create https://cartreflect-claytondev.rhc
elasticsearch log4j 漏洞修复
weixin_43725548的博客
12-14 6252
项目场景: ES版本 : elasticsearch-7.6.1 问题描述: 最近被曝出来Log4j-2存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码 数据传输过程数据不时出现丢失的情况,偶尔会丢失一部分数据 查了一下服务器,发现 ES 服务刚好使用了 Log4j。现在国内写的人比较少,我便记录一下 解决方案: 查询出都 ES 服务都哪些地方使用了该文件(我这里将 log4j 已经替换成了 2.15 版本,替换前的版本好像是
Elasticsearch与最新的log4j2零日漏洞
点火三周的专栏
12-12 6939
今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!) 划重点: 我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行 测试方案: 使用
ElasticSearch6.8.13解决Log4j CVE-2021-44228漏洞
qq_40864421的博客
12-14 5466
ElasticSearch6.8.13解决Log4j CVE-2021-44228漏洞
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM创建所有SRV,A和PTR...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
该存储库的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读下面的要求部分。 我最初在RHV上安装OCP有点麻烦,因此我选择自动执行大部分安装以允许迭代部署。 最大的挑战是自己...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift4-upi-openstack
05-08
OpenStack上的OpenShift 4 UPI Ansible角色,用于将OpenShift 4的用户提供的基础架构安装方法的必要任务自动化到自定义OpenStack 基于原始的变数安装的默认变量位于defaults/main.yml执照BSD
openshift-jee-sample:将在openshift环境部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
openshift-docs:OpenShift 3和4产品和社区文档
02-04
openshift-docs:OpenShift 3和4产品和社区文档
【炸雷】ElasticsearchLog4j 漏洞处置策略
infinilabs的博客
12-10 5573
昨日爆出的 Log4j 安全漏洞,业界一片哗然,极限实验室第一时间进行了跟进,对 Elasticsearch 的影响范围进行了分析,为大家提供如下应对策略。
log4j apache史诗级高危漏洞修复
par@ish的博客
12-27 1670
linux主机查看是否存在log4j组件**:find / -name "*log4j-*.jar"
OpenShift 4 - 配置OpenShift集群日志环境EFK
多恩斯基的博客
04-17 1535
文章目录安装Elastic Search Operator安装Cluster Logging Operator查看Kibana OpenShift 4 缺省安装完是没有提供基于ElasticSesrch-Fluentd-Kibana(EFK)的集群日志环境。我们可以通过以下步骤在OpenShift上配置出基于EFK的集群日志运行环境。 安装Elastic Search Operator 以下步骤采...
OpenShift 4 - 用 MTC 将应用从 OpenShift 3 迁移至 OpenShift 4(附视频)
多恩斯基的博客
01-05 1237
S3 对象存储 Multi-Cloud Object Gateway (MCG) Amazon Web Services (AWS) S3 Google Cloud Provider (GCP) Microsoft Azure Generic S3 object storage, MinIO 或 Ceph OpenS hift 3 OpenShift 4 $ oc get pods -n openshift-migration NAME
OpenShift 4 - 利用 File Integrity Operator 实现对集群节点进行入侵检测(附视频)
多恩斯基的博客
03-05 4718
OpenShift 的 File Integrity Operator 可以在集群节点上持续地运行文件完整性检查。它部署了一个 DaemonSet,在每个节点上初始化并运行有特权的AIDE(Advanced Intrusion Detection Environment - 高级入侵检测环境)容器,提供自 DaemonSet 初始运行以后被修改的文件记录。
OpenShift 4 - DevSecOps (1) - 安装 DevOps 环境
多恩斯基的博客
04-01 4212
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.10环境验证 本文创建的环境是《OpenShift Security (17) - 在 DevSecOps 过程,借助 RHACS 发现并修复安全隐患 (视频)》演示 文章目录安装 Ansible 及其相关依赖包根据 Ansible Playbook 安装 DevSecOps Workshop 环境参考 安装 Ansible 及其相关依赖包 执行命令安装 Ansible。 $ sudo dnf install a
RHEL 8 - CIS安全合规基线、SCAP、SSG和合规扫描、漏洞扫描
多恩斯基的博客
02-12 4183
CIS(互联网安全心)提供各种网络安全相关服务。它制作了基准以保护系统免受当今不断变化的网络威胁。 这些基准以PDF的形式免费提供给CIS成员,这些内容是可读的但不能直接被扫描工具使用。CIS为付费会员提供了一些XCCDF1格式的基准,可以被工具使用。不过这些基准不包含改变服务器状态以达到合规性所需的自动化和补救步骤。为此Red Hat向用户生产“scap-security-guidelines”软件包,它包含了基准扫描合规性、自动化和补救结果所需的内容。 openscap-scanner: 扫描工具。
OpenShift 4 - 使用 Trivy Operator 对项目的镜像进行安全扫描
多恩斯基的博客
01-09 3815
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.9环境验证 使用默认配置安装 Trivy Operator,然后创建一个 “NamespaceScanner” 实例。 apiVersion: trivy-operator.devopstales.io/v1 kind: NamespaceScanner metadata: name: trivy-operator-main-config namespace: openshift-operators spe
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值