1. Toy模板网首页
  2. > Toy博客

prometheus涉及pprof go信息泄露漏洞整改

9月前 作者:星� 星 分类:Toy博客 阅读(34) 违法举报

这篇具有很好参考价值的文章主要介绍了prometheus涉及pprof go信息泄露漏洞整改。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Prometheus涉及pprof go信息泄露漏洞整改

本文记录一下对系统渗透测试后反馈Prometheus涉及pprof go信息泄露,验证方法为http://ip:port/debug/pprof。为防止未经授权用户访问,现决定在Prometheus层面使用basic_auth加密整改。

环境配置

软件 版本
Kylin V10
Docker 20.10.22
Prometheus 2.19.0

1.生成basic_auth密钥

安装工具包并生成加密后密码

#安装工具包
yum install -y httpd-tools
#生成加密密码
htpasswd -nBC 12 '' | tr -d ':\n'
New password:               # 这里设置密码为Prometheus,实际使用请按照自己的集群需求定义密码
Re-type new password:
#生成的密码信息
$2y$12$SiMWc.Avsx4BE59PT88GcefVkJGBYduzMP5kXeV2EyDxgKvODGhBW

2.将密钥文件写入config.yml文件内

新建配置文件(暂时不使用TLS,使用TLS加密后Grafana获取不到数据,还需修改数据源配置)

cat > /usr/prometheus/config.yml<<EOF
basic_auth_users:
  # 当前设置的用户名为admin, 可以设置多个
  admin: $2y$12$SiMWc.Avsx4BE59PT88GcefVkJGBYduzMP5kXeV2EyDxgKvODGhBW
EOF

3.修改prometheus配置

新增basic_auth配置

scrape_configs:
  - job_name: 'prometheus'
    basic_auth:
      username: admin
      password: prometheus
    static_configs:
    - targets: ['prometheus:9090']

4.启动服务

4.1 service模式

修改/usr/lib/systemd/system/prometheus.service文件,在ExecStart后面追加-web.config.file=/usr/prometheus/config.yml

4.2 docker模式

修改镜像版本(≥2.40),在服务启动脚本命令内增加 --web.config.file配置

docker run -d --restart=unless-stopped --name=prometheus -p 9090:9090 -v /usr/prometheus/prometheus.yml:/etc/prometheus/prometheus.yml -v /usr/prometheus/config.yml:/etc/prometheus/config.yml prom/prometheus:v2.24.0 --config.file=/etc/prometheus/prometheus.yml --web.config.file=/etc/prometheus/config.yml

5.访问测试

返回Unauthorized即整改完成文章来源地址https://www.toymoban.com/news/detail-784973.html

[root@localhost ~]# curl http://127.0.0.1:9090/debug/pprof/
Unauthorized

到了这里,关于prometheus涉及pprof go信息泄露漏洞整改的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 实战敏感信息泄露高危漏洞挖掘利用

    实战敏感信息泄露高危漏洞挖掘利用

    信息泄露就是某网站某公司对敏感数据没有安全的保护,导致泄露敏感被攻击者利用,例如泄露:账号,密码,管理员,身份证,数据库,服务器,敏感路径等等 如果进了业务系统可以SQL注入,文件上传,getshell获取服务器权限高危操作 例如: 可以根据账号,猜测默认密码

    2023年04月08日
    浏览(44)
  • 【漏洞复现】大华DSS视频管理系统信息泄露漏洞

    【漏洞复现】大华DSS视频管理系统信息泄露漏洞

            大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。         大华DSS视频管理系统存在信息泄露漏洞,攻击

    2024年02月21日
    浏览(37)

  • CVE-2023-28432 MinIO 信息泄露漏洞--漏洞复现10

    微信公众号搜索:南风漏洞复现文库 南风网络安全公众号首发 MinIO是美国MinIO公司的一款开源的对象存储服务器, 是一款高性能、分布式的对象存储系统. 它是一款软件产品, 可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIO。MinIO中存在一处信息泄露漏洞,

    2024年02月01日
    浏览(59)
  • 4.8、漏洞利用-NSF配置漏洞与Rpcbind信息泄露

    4.8、漏洞利用-NSF配置漏洞与Rpcbind信息泄露

    目录 1、相关服务介绍 1.1 NFS 1.2 RPC服务 2、探测目标rpcbind 2.1 探测版本信息 2.2 nmap脚本探测 2.3 使用metasploit模块验证 NFS(network file system):网络文件系统。Linux下三大文件系统之一,采用C/S架构。允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS应用中,本地NFS客户端可以

    2024年02月02日
    浏览(38)
  • Goby 漏洞更新 |ThinkPHP Debug 模式日志信息泄露漏洞

    Goby 漏洞更新 |ThinkPHP Debug 模式日志信息泄露漏洞

    ThinkPHP 是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架。ThinkPHP Debug 模式存在日志信息泄露漏洞,在开启Debug的情况下会在Runtime目录下生成日志,攻击者通过构造特殊URL地址,读取日志敏感信息。 ThinkPHP Debug 模式存在日志信息泄露漏洞,在开启Debug的情况下会

    2024年02月04日
    浏览(42)
  • .git文件夹信息泄露漏洞利用

    .git文件夹信息泄露漏洞利用

    未经授权请勿利用文章中的技术 资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果 和损失,均由使用者本人负责。 无意中使用x-ray被动扫描,扫描出了一个git文件信息泄露。 通过手动验证确实可以下载到.git配置文件(.git文件夹是来自于

    2024年02月15日
    浏览(51)
  • Web漏洞-敏感信息泄露-后台地址爆破

    Web漏洞-敏感信息泄露-后台地址爆破

    通过爬虫去爬取网站目录,然后将爬取到目录进行展现,同时也可以匹配关键目录,如:admin,manger等。 实验环境:kali 实验工具:Dirb 默认情况下后台地址是不应被搜索引擎爬取到,因为后台涉及到关键信息的展示和配置,如果后台地址简单或者后台存在未授权问题,则会给

    2024年02月12日
    浏览(49)
  • 解决漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

    解决漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

    错误详情: 解决方案  win2012R2解决办法 参考链接:Browse code samples | Microsoft Learn 下载该ps1的文件。 下载该ps1的文件。 首先运行PowerShell后去文件夹中运行,或者直接输入 D:Solve-Sweet32.ps1 即可 参考链接  SSL/TLS协议信息泄露漏洞(CVE-2016-2183)解决办法(WindowsServer2012r2 3389端口 )

    2024年02月12日
    浏览(47)

  • 漏洞修复---SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

    1.查看当前openssl版本       我线上版本是   OpenSSL 1.0.2k-fips 26 Jan 2017  官网下载最新版本 【当前我下载的版本为 openssl-1.1.1q】 2.将压缩包上传到linux服务器     tar -zxvf openssl-1.1.1q.tar.gz 3.编译安装 4. 移除老版本openssl 5. 查看版本 openssl version 报错    openssl: error while loadi

    2024年02月16日
    浏览(49)
  • CVE-2023-28432 MiniO信息泄露漏洞复现

    CVE-2023-28432 MiniO信息泄露漏洞复现

    MiniO 是一个基于 Apache License v2.0 开源协议的对象存储服务。它兼容亚马逊 S3 云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等 在集群部署的 Minio 中,未授权的攻击者可发送恶意的 HTTP 请求来获取 Minio 环境

    2024年02月12日
    浏览(60)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包