consul配置ACL安全认证

于 2024-09-11 15:21:29 发布
阅读量581 收藏 8
点赞数 5
分类专栏: 等保 中间件 文章标签: consul 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50902636/article/details/142133917
版权

文章目录

前言

因为现阶段属于护网期,因此公司对服务器、业务的安全都很关注,只要再次期间被漏扫出来的漏洞,都需要及时响应处理,恰好昨天下午我负责维护的一个项目被漏扫出来了Consul未授权访问漏洞【原理扫描】HashiCorp Consul 安全漏洞(CVE-2021-41803)这两个漏洞,经过查询漏洞编号及名称,并验证该项目上的consul,才发现是因为该consul未配置任何安全认证,即当在浏览器访问consul的web界面时会直接暴露出已注册的services、nodes等相关信息,容易导致信息泄露。因此在确定了漏洞的详情后就着手准备开始处理漏洞。

因为该项目使用consul做为prometheus的服务发现与注册,且注册的监控指标只有200多个,因此使用的是单节点consul,下方的漏洞处理也是基于单节点consul进行处理

一、漏洞详情

漏洞名称Consul未授权访问漏洞【原理扫描】
详细描述Consul是HashiCorp公司推出的一款开源工具,用于实现分布式系统的服务发现与配置。与其他分布式服务注册与发现的方案相比,Consul提供的方案更为“一站式”。Consul内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(例如ZooKeeper等),使用方式也相对简单。Consul默认配置下缺少访问控制,导致攻击者可以获取敏感信息
解决办法请增加Consul的授权管理控制
漏洞名称HashiCorp Consul 安全漏洞(CVE-2021-41803)
详细描述HashiCorp Consul是美国HashiCorp公司的一套分布式、高可用数据中心感知解决方案。该产品用于跨动态分布式基础架构连接和配置应用程序。HashiCorp Consul 1.8.1、1.11.81.12.4 和 1.13.1版本存在安全漏洞,该漏洞源于在插入和使用自动配置 RPC 的 JWT 声明断言之前没有正确验证节点或段名称。
解决方法厂商补丁:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://discuss.hashicorp.com/t/hcsec-2022-19-consul-auto-config-jwt-authorization-missing-input-validation/44627

二、漏洞处理

1.ACL相关介绍

Consul使用 Access Control Lists(ACL-访问控制列表)来保护对UI、API、CLI、服务通信和代理通信的访问;

ACL的核心是将规则分组为策略,然后将一个或多个策略与令牌相关联。

Consul使用token的形式进行安全控制访问,这里的token就是随机的字符串,有了token就有对应的操作权限啦;
就好比之前说到WebAPI接口加访问控制一样,通过一个授权token就可以访问相关的接口资源。

配置ACL的前提是所有节点都需要将ACL启用,然后还要一个bootstrap token,因为针对子权限(策略)生成token的时候需要用到,
就好比MySQL中的root用户一样,只有有了root权限才能给其他用户分配更多的权限。
接下就以UI的访问和Services的控制进行ACL配置演示,其他基本上都一样,重点就是规划好策略规则。

2.开启ACL

启用ACL系统分为两步, 开启ACL和创建令牌(Token)。

首先在各节点启动时将ACL启用,在配置文件夹目录下(这里目录名是consul.d)增加acl.hcl文件,配置如下
[root@prometheus consul.d]# pwd
/export/server/monitor/consul/consul.d
[root@prometheus consul.d]# vim acl.hcl
acl = {
  enabled = true                      #开启acl
  default_policy = "deny"             #默认策略.deny标识默认拒绝所有操作,allow标识默认允许所有操作。
  enable_token_persistence = true     #持久化到磁盘,重启时重新加载。
}

3.创建令牌

创建初始令牌—— 内置策略(全局管理),相当于管理员令牌,可以授予一部份管理员全局访问权限

[root@prometheus consul.d]# ../bin/consul acl bootstrap
AccessorID:       9k8rt356-de9e-1268-123b-3dbensiu912
SecretID:         kjdn2n-be23-fea7-1733-dn2jf92s21ns0   #生成了一个Token,后续登录就需要使用这个ID来登录
Description:      Bootstrap Token (Global Management)
Local:            false
Create Time:      2024-09-10 14:36:28.7500702 +0800 CST
Policies:
   00000000-0000-0000-0000-000000000001 - global-management  #使用的全局策略,权限很大,类似于MySQL的root

4.修改acl文件

将生成的SecretID添加到acl文件中

[root@prometheus consul.d]# vim acl.hcl
acl = {
  enabled = true
  default_policy = "deny"
  enable_token_persistence = true
  tokens {
    agent= "7953f9e7-5fb6-6b22-9068-cbcac37fec10"
  }
}

5.修改单节点consul启动配置文件

添加-config-dir参数

./consul agent -server -bootstrap-expect 1 -config-dir /export/server/monitor/consul/consul.d/ -data-dir /export/server/monitor/consul/data  -node 127.0.0.1 -bind=127.0.0.1 -client=0.0.0.0 -datacenter prod -ui  -&

6.重启consul

[root@prometheus consul.d]# ../bin/restart.sh

三、漏洞处理结果验证

配置acl认证后
在这里插入图片描述
在这里插入图片描述
至此,consul未授权漏洞修复完成,同时也对consul配置acl认证有了大体的认知,虽然本次是以单节点的consul作为示例,acl认证部分描述的也不是很全面,后续针对consul acl认证再次整理一篇相关内容

迷茫运维路
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解consul的安装和配置
09-30
Consul 是一款由 HashiCorp 开发的开源工具,它主要用于实现分布式系统的服务发现与配置Consul 提供了多种关键特性,使得在现代微服务架构中管理服务变得更为便捷。 1. **服务发现(Service Discovery)**:...
[配置中心] — consul
01-07
consul可以作为一个注册中心(主),同时又可以作为配置中心(辅)。 consul是由go语言写的 consul底层是实现了raft一致性协议,所以cap中,consul是cp,也就是说可能会短时间内停止服务(raft选举过程),但牺牲一点...
springcloud使用consul作为配置中心
08-27
本文详细介绍了如何使用 Consul 作为配置中心,并探讨了相关的知识点,包括 Consul 配置中心、Spring Cloud Consul 配置配置方式、全局配置和局部配置、Refresh 机制等。使用 Consul 作为配置中心可以简化配置管理...
Consul可执行配置打包
03-10
Consul是一款由HashiCorp公司开发的开源工具,主要用于实现分布式系统的服务发现与配置共享。在本压缩包中,提供了Consul v1.9.3版本的Windows可执行文件,适用于在Windows环境下快速搭建和运行Consul服务。该包包含...
consul-unauthorized:consul未授权访问
04-24
consul可以进入后台,威胁敏感信息,对网络设备进行操作
Consul系列:什么是Consul?
quanzhan_King的博客
05-18 2037
与其他分布式服务注册与发现的方案, consul 的方案更“一站式”,内置了服务注册 与发现框架、分布一致性协议实现、健康检查、Key/Value 存储、多数据中心方案,不再需要依赖其他工具(比如 ZooKeeper 等。这使得一个新的数据中心可以很容易的加入现存的 WAN gossip。当一个 server 收到来自另一个数据中心的请求时,它随即转发给正确数据中心的一个 server。这使得数据中心之间只有一个很低的合,但是由于故障检测,连接缓存和复用,跨数据中心的请求都是相对快速和可靠的。
Consule系列:Consul实现详解
quanzhan_King的博客
05-18 2788
Consul的实现 Consul使用Consensus协议提供一致性(Consistency)——CAP定义的一致性。Consensus协议是基于“Raft:InsearchofanUnderstandableConsensusAlgorithm”实现的。 Raft是基于Paxos的一致性算法。与Paxos相比,Raft被设计为具有更少的状态和更简单,更容易理解的算法。 Raft算法是一种基于日志复制实现数据
Spring Cloud开发实践(五): Consul - 服务注册的另一个选择
IOsetting的专栏
05-17 790
Consul 是微服务网络解决方案之一, 用于管理跨网络和多云环境服务之间的安全网络连接, 提供服务发现, 服务网格, 流量管理和自动更新. 可以单独部署, 也可以分布式部署. Consul 内建安全通信选项, 使用 Go 语言编写, 启动资源消耗小, 脚本化配置, 对容器部署方式更友好
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 721
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细
A的博客
09-09 1699
nio(new I/O),是Java SE 1.4及后续版本提供的一种新的I/O操作方式(即java.nio包及其子包)。Java nio是一个基于缓冲区、并能提供非阻塞I/O操作的Java API,因此nio也被看成是non-blocking I/O的缩写。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 503
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
Java安全-动态加载字节码
柠檬i的博客
09-07 1111
众所周知,不同平台、不通CPU的计算机指令有差异,但因为Java是一门跨平台的编译型语言,所以这些差异对于上层开发者来说是透明的,上层开发者只需要将自己的代码编译一次,即可运行在不同平台的JVM虚拟机中。
【看雪-注册安全分析报告】
09-05 1478
看雪学苑(www.kanxue.com)是一个专注于PC、移动、智能设备安全研究及逆向工程的安全综合服务网站!创建于2000年,历经20多年的发展,看雪网站形成了大量有价值的技术资料,经过看雪团队的共同努力,先后出版过数本技术专著,深受出版社和广大读者好评,社会影响深远,在行业中树立了令人尊敬的专业形象。平台为会员提供安全知识的在线课程教学,同时为企业提供智能设备安全相关产品和服务。
【精选】文件摆渡系统:跨网文件传输的安全与效率之选
文件数据安全交换
09-06 1203
同时满足安全与效率兼顾的文件摆渡系统,那就是Ftrans飞驰云联的《Ftrans Ferry跨网文件安全交换系统》,这是一款由飞驰云联自主研发的安全产品,可以有效解决内外网间、多个网络之间、HPC环境下、云租户之间的跨网文件摆渡需求,通过多审核审批、日志审计、防病毒、DLP检测、传输加密、权限管控、传输加速等,实现统一的文件摆渡安全管控,提高网间数据交互效率。支持企业微信、钉钉等进行消息通知集成。系统内置DLP检测功能,可检测文件的大小、文件名、文件个数、文件来源、敏感内容、文件类型、是否含有病毒等。
网络通信安全:全面探索与深入分析
最新发布
大厂全栈码农
09-10 1161
在不断发展的信息技术环境下,我们需要持续关注网络通信安全领域的新变化和新挑战,不断完善防护机制,加强安全管理,提高全社会的网络通信安全意识,以保障个人、企业和国家的网络安全利益。例如,攻击者可以通过伪装成合法的机构或人员,如银行客服、IT 技术支持等,通过电话、电子邮件或短信等方式骗取用户的信任,从而获取用户的敏感信息,如账号、密码、验证码等。例如,用户在登录网上银行时,需要输入用户名、密码以及动态口令,并且银行服务器与浏览器之间的通信通过 SSL/TLS 加密,确保用户的账户信息和交易信息安全
将AI与情境定位结合以确保品牌安全
微信,抖音等国内主要流量平台打通,企业可以无缝把现有的业务场景接入AI能力
09-04 1540
互动广告局 (IAB) 将品牌安全描述为确保你的广告不会出现在不适当、有害或有争议的内容旁边。这些内容可能会损害品牌形象,并可能削弱目标市场的信任度。品牌适配性更进一步。它不仅确保广告避开有害内容,还确保广告与品牌的身份和价值观一致。此举在于寻找广告的“合适”位置,而不仅仅是“安全”的位置。例如,确保奢侈品牌仅出现在高端生活方式内容旁边。
API安全 | 发现API的5个小tips
2301_80115097的博客
09-05 1130
安全测试目标时,最有趣的测试部分是它的 API。API 是动态的,它们比应用程序的其他部分更新得更频繁,并且负责许多后端繁重的工作。在现代应用程序中,我们通常会看到 REST API,但也会看到其他形式,例如 GraphQL 甚至 SOAP。
毒枸杞事件启示录:EasyCVR视频AI智能监管方案如何重塑食品卫生安全防线
TSINGSEE青犀视频官方技术博客
09-04 1634
这些功能有助于监管部门和企业可以随时调取历史视频进行回放,追溯问题源头,为食品安全事件的调查取证提供有力支持。
系统架构师考试学习笔记第四篇——架构设计实践知识(21)安全架构设计理论与实践
weixin_38812575的博客
09-10 560
第21课时主要学习信息系统中安全架构设计的理论和工作中的实践。根据考试大纲,本课时知识点会涉及案例分析题和论文题(各占25分),而在历年考试中,综合知识选择题目中也有过诸多考查。本课时内容侧重于知识点记忆;,按照以往的出题规律,安全架构设计基础知识点主要来源于教材,但随着形势和技术的发展,也可能会联系最新时事考查新颁布的安全标准。本课时知识架构如图21.1所示。
consul 怎么配置Acl
05-16
ACL(Access Control List)即访问控制列表,是Consul中用来控制访问权限的一种机制。在Consul中,为了保证数据的安全性,需要对访问Consul的用户进行认证和授权。配置ACL可以建立一些规则来限制用户的访问权限,保护数据的安全性。 要配置ACL,首先需要在Consul配置文件中开启ACL功能,例如: ``` { "acl_datacenter": "dc1", "acl_default_policy": "deny", "acl_down_policy": "extend-cache", "acl_master_token": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "acl_token": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" } ``` 其中,“acl_datacenter”表示ACL的数据中心,“acl_default_policy”表示默认的授权策略,“acl_down_policy”表示如果无法和 agent 连接时应该使用的授权策略,“acl_master_token”表示管理 token,“acl_token”表示客户端 token。 然后,需要创建一个管理员token,用于管理ACL,例如: ``` consul acl bootstrap ``` 最后,可以在Consul中创建、修改、删除ACL规则,例如: ``` consul acl policy create -name "web-service" -description "Grant permissions required by the web service" -rules @web-service-policy.hcl consul acl token create -description "Token for accessing the web service" -policy-name "web-service" consul acl token update -id <ACCESSOR_ID> -description "Token for accessing the web service" -policy-name "web-service" ``` 以上是关于Consul如何配置ACL的简单介绍,如有疑问,请您进一步了解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值