spring 微服务nacos未授权访问漏洞修复


近来,公司系统做安全渗透又被扫描出了nacos漏洞问题。报告已对漏洞进行了说明:
Nacos是一个为动态服务发现和配置以及服务管理而设计的平台。Nacos如果没有配置认证管理,攻击者可以在无需授权的情况下获取敏感信息。
公司系统使用版本为2.0.3。不支持进行认证管理,所以解决办法就是升级nacos版本到2.0.4。需要注意,升级nacos版本外,还需要调整微服中的一些配置。

1 nacos 版本升级

1.1 nacos 2.0.4下载。

nacos官网下载2.04版本。

1.2 解压

下载后上传至原来服务器,备份原有nacos。再停nacos服务。解压到原有nacos路径下,直接覆盖原有版本。

1.3 配置文件修改

修改nacos_home/application.properties。
开启权限认证。

  nacos.core.auth.enabled=true

在这里插入图片描述

1.4 nacos启动

启动nacos,在nacos/bin目录下。

  ./ startup.sh

1.5 nacos升级验证

进入nacos管理页面。看到nacos已经升级到2.0.4.
在这里插入图片描述

2 微服务升级

2.1 maven pom文件修改

将微服务中涉及nacos依赖同步进行修改。

<spring-cloud.version>Greenwich.SR4</spring-cloud.version>
<alibaba-cloud.version>2.1.1.RELEASE</alibaba-cloud.version>
<spring-boot.version>2.1.10.RELEASE</spring-boot.version>
<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-client</artifactId>
    <version>1.4.0</version>
</dependency>

修改为

<spring-cloud.version>Greenwich.SR6</spring-cloud.version>
<alibaba-cloud.version>2.1.4.RELEASE</alibaba-cloud.version>
<spring-boot.version>2.1.13.RELEASE</spring-boot.version>
<nacos-client.version>1.4.1</nacos-client.version>

<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-client</artifactId>
    <version>${nacos-client.version}</version>
</dependency>

2.2 修改bootstrap.yml

在bootstrap.yml 中添加nacos用户密码。
config 和 discovery 新增,用于权限认证的参数(用户名和密码和nacos登录的用户名密码保持一致):

		username: nacos
		password: nacos
		group: DEFAULT_GROUP

2.3 重启微服务

重启涉及nacos配置相关的微服务

对于Nacos授权访问漏洞,建议你采取以下措施进行修复: 1. 更新到最新版本:确保你使用的Nacos版本是最新的,因为最新版本通常包含了安全修复漏洞修复。 2. 配置访问控制:通过配置适当的访问控制策略,限制只有授权的用户或者IP可以访问Nacos。可以使用Nacos的权限管理功能来实现。 3. 强化认证和授权:启用强密码策略,使用复杂的密码,并定期更换密码。确保只有授权用户具有适当的权限来访问和管理Nacos。 4. 防火墙设置:配置防火墙来限制对Nacos访问,只允许来自可信源IP地址的请求。 5. 安全审计日志:启用安全审计日志功能,记录所有关键操作和访问日志。这有助于发现异常行为和及时应对潜在的安全威胁。 6. 定期备份:定期备份Nacos的数据,以防止数据丢失或损坏。备份可以帮助你在遭受攻击或数据丢失时快速恢复。 7. 安全漏洞扫描和测试:与安全团队合作,进行定期的安全漏洞扫描和安全测试,以发现并修复潜在的安全问题。 8. 及时响应:如果你发现任何安全问题或漏洞,应立即采取措施进行修复和调查。可以向Nacos官方团队报告漏洞,并升级到已修复漏洞的版本。 请记住,安全是一个持续的过程,需要不断地关注和改进。通过以上措施,你可以提高Nacos的安全性,并减少授权访问漏洞的风险。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菜菜的中年程序猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值