【补补漏洞吧 | 02】等保测评ZooKeeperElasticsearch未授权访问漏洞补漏方法
一、项目背景
客户新系统上线,因为行业网络安全要求,需要做等保测评,
通过第三方漏扫工具扫描系统,漏扫报告显示ZooKeeper和
Elasticsearch
服务各拥有一个漏洞,具体结果如下:
1、ZooKeeper
未授权访问【原理扫描】(中危)
2、Elasticsearch
未授权访问【原理扫描】(高危)
如果按照漏扫工具给出的解决方法,创建对应的授权用户,会导致服务之间的连接调用出现问题,所
以,要解决这两个漏洞,需要设置防火墙规则。
二、补漏步骤
1、安装
iptables
防火墙
yum -y install iptables2、配置防火墙规则:只允许本地服务器访问
可以使用命令配置,也可以写入
iptables
规则文件
vim /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#本机服务器地址
-A INPUT -s 172.16.30.67/32 -p tcp -j ACCEPT
#本地服务器地址
-A INPUT -s 172.16.30.60/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.61/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.62/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.63/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.64/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.65/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.66/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.68/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.69/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.70/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.71/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.11/32 -p tcp -j ACCEPT
#容器calico使用的ip地址
-A INPUT -s 172.17.0.0/16 -p tcp -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
3、
重启
iptables
systemctl start iptables
systemctl enable iptables
4、
测试系统是否可用