漏洞修复 Zookeeper、MySQL、Elasticsearch

这篇具有很好参考价值的文章主要介绍了漏洞修复 Zookeeper、MySQL、Elasticsearch。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

漏洞修复

一、HTTP漏洞修复

1.1 漏洞说明
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch

1.2 漏洞修复
1.2.1 升级HTTPD到最新版本(2.4.53)
1.2.1.1 服务器有网的情况下执行以下操作:

  1. 安装CodeIT库
    cd /etc/yum.repos.d
    wget https://repo.codeit.guru/codeit.el7.repo
    zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch

  2. 更新httpd
    yum update httpd

  3. 检查是否更新版本
    httpd -version

  4. 重启服务
    systemctl restart httpd

1.2.1.2 服务器没有网执行以下操作

  1. 下载rpm包:
    下载地址:https://repo.codeit.guru/packages/centos/7/x86_64/

  2. 下载以下rpm包
    注意:版本号要与下图一致

  3. 执行以下命令:

rpm -ivh apr-1.7.0-2.el7.x86_64.rpm --force --nodeps
rpm -ivh apr-util-1.6.1-6.el7.x86_64.rpm --force --nodeps
rpm -ivh httpd-filesystem-2.4.53-2.codeit.el7.noarch.rpm --force --nodeps
rpm -ivh httpd-tools-2.4.53-2.codeit.el7.x86_64.rpm --force --nodeps

rpm -ivh openssl-quic-libs-1.1.1n-2.codeit.el7.x86_64.rpm --force --nodeps

rpm -Uvh httpd-2.4.53-2.codeit.el7.x86_64.rpm --force --nodeps
rpm -ivh mod_http2-2.0.2-2.codeit.el7.x86_64.rpm --force --nodeps
4. 查看是否升级成功
httpd -version
5.重启httpd服务
systemctl restart httpd

二、Zookeeper漏洞修复

2.1 漏洞说明
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch

2.2 漏洞修复
添加防火墙端口规则,禁止端口被外部机器访问:
查看防火墙状态
systemctl status firewalld

启动防火墙
systemctl start firewalld

添加规则,只允许集群内ip访问某个端口,示例
Zookeeper 2181
firewall-cmd --permanent --zone=public --add-port=1-2180/tcp
firewall-cmd --permanent --zone=public --add-port=2182-65535/tcp
firewall-cmd --permanent --zone=public --add-port=1-65535/udp

添加2181 端口向指定ip开放
firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“192.168.12.36” port protocol=“tcp” port=“2181” accept”
firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“192.168.12.63” port protocol=“tcp” port=“2181” accept”
firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“192.168.11.118” port protocol=“tcp” port=“2181” accept”

(放行keepalived组播地址)
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 --destination 224.0.0.18 --protocol vrrp -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 --destination 224.0.0.18 --protocol vrrp -j ACCEPT

重新加载规则
firewall-cmd --reload

查看规则
firewall-cmd --list-all

三、Elasticsearch 未授权访问漏洞

3.1 漏洞说明
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch

3.2 漏洞修复
3.2.1 设置x-pack证书

查看elasticsearch部署了几个节点,如果是多个节点,需要将生成的elastic-certificates.p12 文件拷贝到其他节点的conf目录下(如果是单节点可忽略此项);
./bin/elasticsearch-certutil ca
./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
注:生成证书文件后检查文件用户权限,可手动修改
3.2.2 开启x-pack认证
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
将以上边配置添加到配置文件中config/elasticsearch.yaml

3.2.3. 生成用户及密码

./bin/elasticsearch-setup-passwords auto(会生成随机密码,要做好备份)

可手动生成:./bin/elasticsearch-setup-passwords interactive

3.2.4. 修改密码

curl -H "Content-Type:application/json" -XPOST -u elastic 'http://127.0.0.1:9200/_xpack/security/user/elastic/_password' -d '{ "password" : "123456" }'

zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch

四、MySQL安全漏洞
4.1 漏洞说明
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch

4.2 漏洞修复
注:根据漏洞扫描说明,升级mysql版本为大版本下的最新版本。如5.6版本只能升级5.6版本,不能升级为5.7版本
示例:mysql 5.6.26升级到mysql 5.6.46
4.2.1 检查mysql版本
mysql --version

4.2.2 下载安装包
https://downloads.mysql.com/archives/community/

4.2.3 备份mysql数据
mysqldump -u root -p iotplatform --all-databases --skip-lock-tables > all-data.sql

4.2.4 停止mysql
mysql -u root -p iotplatform --execute=“SET GLOBAL innodb_fast_shutdown=0”
service mysql stop (集群版,ambari界面停止)

4.2.5 升级安装包
rpm -Uvh MySQL*.rpm

4.2.6 启动mysql
service mysql start (集群版,ambari界面启动)

4.2.7 使用upgrade检查新旧版本兼容性
mysql_upgrade -uroot -p iotplatform

4.2.8 检查mysql版本
rpm -qa |grep -i mysql
mysql –version

五、JAVA JMX agent不安全的配置漏洞

5.1 漏洞说明
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch

5.2 漏洞修复
编辑启动脚本,删除此配置项 -Dcom.sun.management.jmxremote.port=8118 ,并重启服务
vim /opt/xxx/xxx/xx/xxx/bin/startup.sh
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch

六、Docker Remote API未授权漏洞

6.1 漏洞说明
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch

6.2 漏洞修复
修改docker配置文件/etc/docker/daemon.json

{
        "bip": "172.25.0.1/16",
        "hosts": ["tcp://0.0.0.0:2375", "unix:///var/run/docker.sock" ]
}
将IP 修改成127.0.0.1
 {
        "bip": "172.25.0.1/16",
        "hosts": ["tcp://127.0.0.1:2375", "unix:///var/run/docker.sock" ]
}

七、慢Dos攻击
7.1 漏洞说明
zookeeper未授权访问漏洞修复,zookeeper,mysql,elasticsearch

7.2 漏洞修复
描述:
将修改connectionTimeout=“20000”,将20000修改成2000即可
修改前:文章来源地址https://www.toymoban.com/news/detail-785825.html

  <Connector port="8182" protocol="HTTP/1.1"
               connectionTimeout="20000" URIEncoding="UTF-8"
               redirectPort="8463" />
  <Connector port="9029" protocol="AJP/1.3" redirectPort="8463" />
修改后:
  <Connector port="8182" protocol="HTTP/1.1"
               connectionTimeout="2000" URIEncoding="UTF-8"
   maxThreads="100"
   minSpareThreads="50"
   maxSpareThreads="100"
   minProcessors="50"
   maxProcessors="100"
   enableLookups="false"
  acceptCount="100"
               redirectPort="8463" />
  <Connector port="9029" protocol="AJP/1.3" redirectPort="8463" />

到了这里,关于漏洞修复 Zookeeper、MySQL、Elasticsearch的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • MongoDB未授权访问漏洞验证与修复过程

    环境:Windows,MongoDB3.2 本文是Windows!Windows!Windows!环境下 可以看到该ip存在MongoDB未授权访问漏洞,没有进行身份验证 可以看到连接被拒绝

    2024年02月11日
    浏览(42)
  • spring 微服务nacos未授权访问漏洞修复

    近来,公司系统做安全渗透又被扫描出了nacos漏洞问题。报告已对漏洞进行了说明: Nacos是一个为动态服务发现和配置以及服务管理而设计的平台。Nacos如果没有配置认证管理,攻击者可以在无需授权的情况下获取敏感信息。 公司系统使用版本为2.0.3。不支持进行认证管理,所

    2024年02月10日
    浏览(38)
  • Java配置47-Spring Eureka 未授权访问漏洞修复

    项目组使用的 Spring Boot 比较老,是 1.5.4.RELEASE 。最近被检测出 Spring Eureka 未授权访问漏洞。 现状是浏览器直接访问 Eureka Server 可以直接进去,看到已经注册的服务信息。 2.1 Eureka Server 添加安全组件 Eureka Server 添加 pom 依赖: 2.2 Eureka Server 添加参数 2.3 重启 Eureka Server 重启

    2024年02月05日
    浏览(33)
  • 漏洞修复 Zookeeper、MySQL、Elasticsearch

    1.1 漏洞说明 1.2 漏洞修复 1.2.1 升级HTTPD到最新版本(2.4.53) 1.2.1.1 服务器有网的情况下执行以下操作: 安装CodeIT库 cd /etc/yum.repos.d wget https://repo.codeit.guru/codeit.el7.repo 更新httpd yum update httpd 检查是否更新版本 httpd -version 重启服务 systemctl restart httpd 1.2.1.2 服务器没有网执行以下

    2024年02月02日
    浏览(34)
  • 数据库安全-Redis未授权&Hadoop&Mysql&未授权访问&RCE 漏洞复现

    未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露,包括端口的未授权常见页面的未授权 /admin.php /menu.php 常见的未授权访问漏洞及默认端口: 默认端口统

    2024年02月03日
    浏览(49)
  • 服务攻防-数据库安全-服务应用的安全问题以及测试流程-Mysql&Hadoop&未授权访问&RCE-漏洞复现

    目录 一、服务应用的安全问题 1、配置不当——未授权访问 2、安全机制——特定安全漏洞 3、安全机制——弱口令爆破攻击 二、服务应用的安全测试思路 1、判断服务是否开放 2、判断服务类型 3、判断利用方式 三、Mysql-未授权访问-CVE-2012-2122 利用 1、漏洞概述 2、漏洞复现

    2024年02月17日
    浏览(47)
  • zookeeper未授权漏洞复现及处理

    一、漏洞详情 Zookeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 Zookeeper的默认开放端口是

    2024年02月07日
    浏览(76)
  • Nacos未授权访问修复方案

    Nacos 是 SpringCloud Alibaba 微服务架构中的一个组件,主要作用是服务注册和发现以及分布式配置管理,通常情况下 Nacos 中存储着 MySQL、Redis 等数据库的账号和密码。当前使用的版本存在用户读取、添加、登陆的漏洞。 通过版本漏洞,攻击者可以在不登陆系统的情况下读取已存

    2024年02月14日
    浏览(30)
  • 修复SpringBoot Actuator未授权访问遇到的问题

    访问http://xxx.xx.x/actuator 会直接获取到系统监控信息,存在安全问题,禁用actuator 缺点:谁都不可以访问不够灵活 会展示部分信息,漏扫严格的话建议替换其他方法 缺点:谁都不可以访问不够灵活 配置文件增加 在项目目录新建config文件夹,新建下面两个文件 1. ActuatorFilter

    2024年02月11日
    浏览(38)
  • Web漏洞-未授权访问漏洞

    未授权访问漏洞 漏洞介绍: 未授权访问漏洞就是在不需要请求授权的情况下对需要授权的功能进行访问执行,通常是由于认证页面存在缺陷,安全配置不当。 漏洞原理: 未授权访问是系统对用户的限制不全,或者无限制,可以让用户或者限制访问的用户,访问到内部的敏感

    2024年02月16日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包