记一次防火墙配置

原创 已于 2023-03-04 16:02:15 修改 · 2.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kafka #分布式 #zookeeper #tdengine

于 2023-03-04 15:51:22 首次发布

因第三方扫描漏洞,发现服务器有zookeeper未授权访问高危安全漏洞,我们采取的措施是给zookeeper访问加权限,在目标主机做以下配置:

一、登录zookeeper

./bin/zookeeper-shell.sh 127.0.0.1:2181

二、查看当前权限
 

getAcl /

三、设置访问权限(多个用逗号隔开)
 

setAcl / ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa

经过以上配置后扫描漏洞依然存在,于是在/zookeeper /zookeeper/quota /config 节点均配置

setAcl /zookeeper ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa
setAcl /zookeeper/quota ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa
setAcl /config ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa

如果需要回退,请执行

--回退
 

setAcl / world:anyone:cdrwa
setAcl /zookeeper world:anyone:cdrwa
setAcl /config world:anyone:cdrwa
setAcl /zookeeper/quota world:anyone:cdrwa

并重启了zookeeper和kafka,重启顺序是关闭kafka-->关闭zookeeper-->启动zookeeper-->启动kafka,注意每次关闭都jps看看是否真正关闭了。

./bin/kafka-server-stop.sh
./bin/zookeeper-server-stop.sh
nohup ./bin/zookeeper-server-start.sh config/zookeeper.properties >/dev/null 2>&1 &
nohup ./bin/kafka-server-start.sh config/server.properties >/dev/null 2>&1 &

为了以防万一,将2181端口移除,仅允许访问的ip访问2181端口,具体操作如下:

四、设置防火墙

firewall-cmd --zone=public --remove-port=2181/tcp --permanent
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="授权访问的ip" port protocol="tcp" port="2181" accept'
firewall-cmd --reload
firewall-cmd --list-all

如果需要回退,请执行

--回退
 

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="授权访问的ip" port protocol="tcp" port="2181" accept'
firewall-cmd --reload

附:防火墙常见命令

1.查看状态

systemctl status firewalld

2.启动防火墙

systemctl start firewalld

3.停止防火墙

systemctl stop firewalld

4.立即生效

firewall-cmd --reload

5.开启tcp端口 

firewall-cmd --zone=public --add-port=2181/tcp --permanent

6.移除tcp端口 

firewall-cmd --zone=public --remove-port=2181/tcp --permanent

7.开启udp端口 

firewall-cmd --zone=public --add-port=6030-6039/udp --permanent

8.查看开启的端口 

firewall-cmd --list-all

如果用到tdnegine,注意tcp和udp端口都要开启

最后就是等待第三方的再次扫描了

zookeeper环境配置完整过程
J_qing3的博客
12-09 990
前提:关闭防火墙 命令:systemctl status firewalld 查看防火墙状态 systemctl stop firewalled 临时关闭防火墙 systemctl disable firewalld 彻底关闭防火墙 解压文件 命令:cd /opt/module/ tar -zxvf apache-zookeeper-3.5.5-bin.tar.gz 然后输入命令:cd /opt/module/apache-zookeeper-3.5.5-bin/ 创建文件夹 命令: mkdir da.
防火墙--防火墙的组网及一些配置
banliyaoguai的博客
07-11 2892
环境实验环境:华为模拟器ensp防火墙型号:USG6000V。
zookeeper部署
本作者:想花
03-18 381
Zookeeper集群中只要有过半的节点是正常的情况下,那么整个集群对外就是可用的。正是基于这个特性,要将ZK集群的节点数量要为奇数(2n+1:如3、5、7个节点)较为合适。 ZooKeeper与Dubbo服务集群架构图 wKiom1aq1U_Ad065AAB91yejcxI238.jpg 服务器1:192.168.1.81 端口:2181、2881、3881 服务器2:192.168.1.82 端口:2182、2882、3882 服务器3:192.168.1.83 端口:2183、2883、3883
CentOS上ZooKeeper的安装和配置(详细)和防火墙的相关操作
qq_42605968的博客
02-24 1523
ZooKeeper的概念 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。 Zoo...
未授权访问漏洞复现及总结
最新发布
weixin_40801021的博客
06-09 160
常见的漏洞有FTP 未授权访问(21)、Rsync 未授权访问(873)、ZooKeeper 未授权访问(2181)、Docker 未授权访问(2375)、VNC 未授权访问(5900、5901)、Redis 未授权访问(6379)、JBoss 未授权访问(8080)、Jenkins 未授权访问(8080)、HadoopYARN 未授权访问(8088)、MongoDB 未授权访问(27017)等。在应急响应未授权访问漏洞事件时,“快速隔离、详尽取证、彻底根除、持续监控” 是核心原则。
Linux · Zookeeper的安装、使用及常用命令,虚拟机ping外网,linux防火墙设置
n_AloneT的博客
03-26 4253
zookeeper安装与使用,虚拟机ping不通,防火墙端口开放,临时节点
Zookeeper安装与配置
qq_51048727的博客
01-17 1万+
Zookeeper安装与配置一、了解 Zookeeper二、下载 Zookeeper三、安装zookeeper 具有单机模式和集群模式1、单机模式2、集群模式 一、了解 Zookeeper ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。Zookeeper维护一个类似文件系统的数据结构。 需要在Hadoop集群上面搭建,可以选择搭建单机模式和集群模式 二、下载 Zookeeper 下载链接:http:/
IPtables防火墙配置
qq_48644092的博客
01-02 929
一、IPtables介绍 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制 netfilter:内核态,即不以文件和形式存在(kernal apace)的防火墙。–是实现防火墙的功能 iptables:用户态,在/sbin/iptables存在(User space)的防火墙。操作上二者没有区分。 用户和内核交互的一个工具就是ipt
【网络安全技术与应用】(选修)实验7 Windows内置防火墙配置
m0_73939014的博客
01-06 1210
测试二:(详见“测试与验证”补充说明)
Iptables 防火墙配置与使用
pray030的博客
03-07 2158
实验名称 Iptables 防火墙配置与使用 实验目的 1.熟悉iptables 防火墙使用原理 2.学习使用 iptables 进行一些网络安全配置 实验内容 1.测试一些iptables 的基本命令 1.1启动防火墙/ 关闭防火墙 (加sudo) Ufw enable/ ufw disable 1.2查看本机关于iptables 的配置 iptables -L 1.3清除预设表filter 中的所有规则 iptables -F 1.4保存现有规则 使用命令 /sbin/iptables-save
一次在cengteros6.8上修复mysql漏洞的过程(iptables防火墙
qq_14981377的博客
06-19 1146
本文并非针对mysql本身的漏洞进行修复,而是通过防火墙策略的方式,绕开安全部门对3306端口的漏扫来提高系统安全性,减少漏洞修复的繁琐工作,这个操作也可以解决其他方面的应用漏洞问题,大家以此类推。这块呢,我也是参考:来学习的,说的很详细,有空可以细看一下,我就贴一些常用的命令吧提示:这些操作可以自己先VM安装个linux系统,把这些命令都试试看看效果,实验好了再干,不然生产环境搞出问题,神仙难救啊!
ZooKeeper ACL权限控制
热门推荐
赶路人儿
02-27 1万+
ZK 类似文件系统,Client 可以在上面创建节点、更新节点、删除节点等如何做到权限的控制?查阅文档,zk的ack(Access Control List)能够保证权限,但是调研完后发现它不是很好用。 ACL 权限控制,使用:schema:id:permission 来标识,主要涵盖 3 个方面: 权限模式(Schema):鉴权的策略授权对象(ID)权限(Permission) 其
Apache Zookeeper未授权访问漏洞
q80880117的博客
07-11 1061
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)格式:setAcl 路径 ip:xxx.xxx.xxx.xx1:cdrwa,ip:xxx.xxx.xxx.xx2:cdrwa。例如:setAcl /zkaa ip:127.0.0.1:cdrwa,ip:10.111.134.6:cdrwa。注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。
zk添加访问白名单
独孤飞磊
11-20 3023
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda 1.登陆zookeeper 进入zookeeper安装目录下的bin目录下执行 ./zkCli.sh -server ip:port 例如: ./zkCli.sh -server 10.100.254.107:2181 2.查看当前权限 getAcl / 3.添加可访问IP setAcl / ip:10.100.254.113:cdrwa,ip:10.100
zookeeper未授权访问漏洞修复
weixin_43966996的博客
05-08 5747
zookeeper进行服务ACL限制访问。
修复zookeeper未授权访问漏洞
qq_28392947的博客
01-12 3560
【代码】修复zookeeper未授权访问漏洞。
zookeeper未授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 5562
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
Windows下搭建zookeeper(单机版)
浮煌的博客
10-07 391
下载 下载地址:https://zookeeper.apache.org/releases.html 下载后是tar.gz形式,windows下正常解压即可。 解压 解压后的如下,注意:需要自己创建data与log目录 修改配置 进入config目录下,将原有的zoo_sample.cfg文件复制一份,重命名为zoo.cfg. 修改dataDIR,配置dataLogDir为自己添加的目录,注意这里的双斜线。 dataDir=E:\\zookeeper-3.4.5\\data
【Linux】firewall防火墙配置-解决Zookeeper未授权访问漏洞
实施工程师从入门到放弃
11-27 1121
zookeeper未授权访问漏洞,进行限制访问,采用防火墙访问策略。
防火墙配置Web区没网
01-09
### 解决防火墙配置引起的Web区域网络不通问题 当遇到因防火墙配置不当而导致Web区域无法正常访问外部资源的情况时,可以采取一系列措施来排查并解决问题。 #### 1. 检查安全策略设置 确认防火墙的安全策略是否允许来自Web区域的数据流向外发送请求。通常情况下,需要确保存在一条明确许可规则,该规则应指定源地址(即Web服务器所在的子网)、目标地址(通常是任意或特定公网IP),以及所使用的协议和服务端口(如HTTP/HTTPS)。如果缺少这样的条目,则需创建相应规则以开放必要的通信路径[^1]。 #### 2. 审核NAT转换规则 对于采用私有IP地址的内部网络来说,出口流量往往要经过网络地址翻译(NAT)才能顺利抵达公共互联网。因此,在审查过程中也应当关注与之相关的映射关系是否正确设定。例如,在某些场景下可能需要验证PAT(Port Address Translation, 端口级地址转换)机制能否有效地将内网主机发出的数据包中的源IP替换为合法可用的公有IP,并保持会话状态的一致性[^2]。 #### 3. 查看连接跟踪录 利用命令行工具`display firewall session table`可以帮助管理员快速定位潜在故障点。此指令能够展示当前活动的所有TCP/IP会话详情,包括但不限于发起方、接收者及其交互模式等重要参数。通过对比预期行为同实际观测到的结果之间的差异,进而推断出是否存在异常状况阻碍了正常的通讯流程。 #### 4. 测试连通性和性能指标 借助ping测试或者更专业的带宽测量软件来进行简单的诊断工作也是不可或缺的一部分。前者主要用于检验两台机器之间最基本的可达性;后者则能进一步揭示链路质量的好坏程度——比如延迟时间长短、丢包率高低等问题均有可能影响最终用户体验。值得注意的是,在执行上述操作前最好先暂停任何可能导致误报的服务进程以免干扰判断准确性。 #### 5. 日志分析与告警监控 最后但同样重要的一步就是充分利用好日志文件所提供的宝贵线索。现代企业级防火墙上一般都会配备完善的事件录系统,它们不仅详尽载着每一次进出站动作的时间戳、涉及对象乃至具体原因等内容,而且还能配合预设阈值触发即时通知提醒相关人员及时介入处理突发情况。定期回顾这些文档有助于提前发现隐患所在从而防患于未然。 ```bash # 使用Ping命令检测连通性 ping www.example.com # 或者使用traceroute追踪路由路径 traceroute www.example.com ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值