限制Doris端口访问,解决REST API漏洞

已于 2025-02-21 11:57:41 修改
阅读量350 收藏 3
点赞数 6
分类专栏: Doris&Starrocks 文章标签: 大数据
于 2025-02-21 09:58:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/docsz/article/details/145768735
版权

方案一:通过Linux防火墙规则限制

目标:限制Doris的端口,只允许指定的ip访问此端口,其他禁止

1、设置规则

1.1、准备工作

注意:以上命令顺序不能错,先禁止后允许,另外此处只是临时设置。

# 使用root用户进行操作
su - root
1.2、规则设置
1、禁止所有的ip访问本机端口

在tcp协议中,禁止所有的ip访问本机的Doris端口

iptables -I INPUT -p tcp --dport 8030 -j DROP
iptables -I INPUT -p tcp --dport 8040 -j DROP
iptables -I INPUT -p tcp --dport 8060 -j DROP
2、允许主机访问本机的端口
  • 使用 -I 将规则插入到 INPUT 链的开头。这意味着它将在现有规则之前生效
  • 仅允许来自特定 IP 地址 192.168.0.1 的数据包
  • 指定了协议为 TCP 和目标端口为 8060,因此只适用于符合这些条件的数据包
iptables -I INPUT -s 192.168.0.1 -ptcp --dport 8030 -j ACCEPT
iptables -I INPUT -s 192.168.0.2 -ptcp --dport 8030 -j ACCEPT
iptables -I INPUT -s 192.168.0.3 -ptcp --dport 8030 -j ACCEPT

iptables -I INPUT -s 192.168.0.1 -ptcp --dport 8040 -j ACCEPT
iptables -I INPUT -s 192.168.0.2 -ptcp --dport 8040 -j ACCEPT
iptables -I INPUT -s 192.168.0.3 -ptcp --dport 8040 -j ACCEPT

iptables -I INPUT -s 192.168.0.1 -ptcp --dport 8060 -j ACCEPT
iptables -I INPUT -s 192.168.0.2 -ptcp --dport 8060 -j ACCEPT
iptables -I INPUT -s 192.168.0.3 -ptcp --dport 8060 -j ACCEPT
  • 使用 -A 将规则追加到 INPUT 链的末尾。这意味着它将在现有规则之后生效。
  • 允许来自整个 192.168.1.0/24 子网的所有 IP 地址。
  • 没有指定协议或端口,因此适用于所有协议和端口。
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
3、允许127.0.0.1回环地址访问
iptables -I INPUT -s 127.0.0.1  -ptcp --dport 8030 -j ACCEPT
iptables -I INPUT -s 127.0.0.1  -ptcp --dport 8040 -j ACCEPT
iptables -I INPUT -s 127.0.0.1  -ptcp --dport 8060 -j ACCEPT
4、保存规则并使其生效
service iptables save
5、重启防火墙
systemctl start iptables
6、查看规则
iptables -L -n -v --line-number
7、删除规则

删除完后需要执行第4、5步骤,在执行第6步进行查看规则

# 删除编号为 2 的规则
iptables -D INPUT 2
# 删除匹配规则内容
iptables -D INPUT -p tcp --dport 8060 -j DROP
# 清空 INPUT 链的所有规则
iptables -F INPUT
# 清空所有链的所有规则
iptables -F

2、重启docker

2.1、关闭docker容器
docker ps -a |grep -v NAMES|awk '{print $NF}'|xargs docker stop
1、关闭docker服务
service docker stop
2、启动docker服务
service docker start
2.1、启动docker容器
docker ps -a |grep -v NAMES|awk '{print $NF}'|xargs docker start

方案二:Doris安全认证

在这里插入图片描述

TypeError: object supporting the buffer APl required解决方案
weixin_43178406的博客
08-10 16万+
 本文主要介绍了TypeError: object supporting the buffer APl required解决方案,希望能对使用Python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
NiFi1.25版本HTTPS模式下RestAPI使用入门
daydaylearn的专栏
07-14 871
Apache NiFi 是一个强大的数据流处理工具,通过其 REST API,用户可以远程管理和控制数据流处理器。本文将介绍如何使用 NiFi 1.25 版本HTTPS 模式下Rest API,包括获取 token、获取组件信息、启动和停止组件、以及更改组件的调度频率等操作。
doris:数据访问控制
最新发布
qq_36070104的博客
03-19 377
doris:数据访问控制
doris数据库的坑:第二弹
aw277866304的博客
09-19 2718
文章解决doris数据库的注释、语法和系统函数等问题
【春秋云镜】CVE-2023-27179
weixin_49064458的博客
10-31 471
GDidees CMS v3.9.1及更低版本被发现存在本地文件泄露漏洞漏洞通过位于 /_admin/imgdownload.php 的 filename 参数进行利用。
禁用HTTP跟踪/跟踪
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
07-24 3602
完整请求(包括HTTP标头,可包括cookie或身份验证数据等敏感信息)将在TRACE响应的实体主体中返回。该请求主要由开发人员用于测试和调试HTTP应用程序,并且在大多数Web服务器软件中默认可用。2、Doris部署BE后端时,会使用python的SimpleHTTPServer(生产环境不建议使用,它只实现了简单的安全性)或http.server模块(不建议生产)来快速实现web服务。3、基于上,更换doris的web为http或nginx来实现。在http和nginx上实现禁用trace。...
doris经典bug
weixin_64261178的博客
05-07 747
doris 节点接受数据不均衡问题
Doris 日志分析案例
04-29 7万+
前面我们介绍了,和,今天我们来看一个具体的案例,因为日志数据往往都是写到kafka 或者,是通过日志收集工具收集到kafka 中的。所以我们如果想要使用Doris进行日志分析的话,那我们需要做的一件事情,就是同步数据到Doris,这也就是我们前面介绍的功能,只不过我们上一节只是创建了一个测试的topic 和表,这一节我们看一个真实的案例。
Doris 数据集成 Kafka
热门推荐
04-26 7万+
这是我们Doris 数据集成篇的第二篇,前面我们介绍过通过 Catalog进行集成的例子目前公司的很多数据服务都开始使用Doris 了,目前使用下来感觉还是很方便的,比起Hadoop 那一套少了很多运维的成本,而且整体的效率也不错,现在也要把ELK 那一套日志分析的替换掉,后面日志分析也走Doris。关于如何使用Doris做日志分析,可以参考之前的文章,不过第一步也不是日志分析,而是如何对接Kafka ,因为目前日志数据是在kafka 里的,这里我调研了一下使用Flink 和 Doris 的。
【云原生】docker 部署 Doris 数据库使用详解
congge
09-08 1万+
docker 部署 Doris 数据库使用详解
Apache Druid 命令执行漏洞复现(CVE-2021-25646)
m0_48520508的博客
03-22 1652
0x00简介 Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理,也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。 另外,Druid 还有一个关键的特点:它支持根据时间戳对数据进行预聚合摄入和聚合分析,因此也有用户经常在有时序数据处理分析的场景中用到它。 0x01漏洞概述 在Druid 0.20.0及更低版本中,用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码。攻击者可
Doris 使用踩坑记录
weixin_43159653的博客
02-10 7017
doris 使用时候遇到的各种问题以及解决方法记录
Doris集群部署
范一刀的博客
05-06 1766
集群资源 服务器 IP 角色 磁盘 CPU 内存 doris01 192.168.1.11 FE /dev/vda1 99G 32c 128G doris02 192.168.1.12 BE、Broker /dev/{sdb…sdp} 32c 128G doris03 192.168.1.13 BE、Broker /dev/{sdb…sdp} 32c 128G doris04 192.168.1.14 BE、Broker /dev/{sdb…sdp} 32c 128G dor
Apache Doris 系列: 入门篇-安装部署
锋哥聊DORIS数仓
08-31 3021
这里我们介绍如何通过二进制安装包方式,手动的一步步安装Apache Doris。如果你需要从编译安装部署,参考。下面我们以部署一台 FE 节点和一台 BE节点为例来演示部署,正常情况 Doris 集群下我们建议至少要部署一个 FE 节点及三个 BE 节点。...
Apache Doris 详细教程(三)
白鸽
12-03 1363
在快照之后,对表进行的更改、导入等操作都不再影响备份的结果。这其实是一个空快照(因为刚创建的表是没有数据的),其目的主要是在 Backend 上产生对应的快照目录,用于之后接收从远端仓库下载的快照文件。备份操作是将指定表或分区的数据,直接以 Doris 存储的文件的形式,上传到远端仓库中进行存储。4、可以将仓库中备份的表恢复替换数据库中已有的同名表,但须保证两张表的表结构完全一致。3、备份和恢复都支持最小分区(Partition)级别的操作,当表的数据量很大时,建议按分区分别执行,以降低失败重试的代价。
Doris 启动失败问题解决
x²+(y-√³x²)²=1的博客
01-13 7627
1、报错: Frontend running as process 3868. Stop it first. 解决方式: 重复启动 fe 服务 2、启动 be 报错 palo_be: error while loading shared libraries: libbfd-2.30-system.so: cannot open shared object file: No such file or directory 或者: backend[10001] got Exception: org.apach
doris实战处理(一)doris表的建表规范、查询
sheep8521的博客
05-31 1887
b、没有办法分区的,数据又较快增长的,没办法按照时间动态分区,可以适当放大一下你的bucket数量,按照你的数据保存周期(180天)数据总量,来估算你的bucket数量应该是多少,建议还是单个bucket大小在1-3G。【强烈建议】不要使用Auto Bucket ,按照自己的数据量来进行分区分桶,这样你的导入及查询性能都会得到很好的效果,Auto Bucket 会造成 tablet 数量过多,造成大量小文件的问题。a、没有办法分区的,数据又缓慢增长的:单个tablet数据量保持在1-3G;
Doris 数据导入失败排查思路
Dataligen的博客
08-23 1678
数据写入常见的错误如下:写入分区表时,写入不存在分区数据数据类型与doris数据类型不一致采用csv表格数据导入,原数据中存在字符串,字符串中可能存在制表符\t或换行符\n在数据分割的时候,会将数据切割错误,会报数据类型不符错误,故需要设置自定义新的分隔符。PROPERTIES"column_separator": "&*&", --导出文件的列分隔符"line_delimiter": "@@@@" --导出文件的行分隔符。
Doris端口8030
06-02
8030 端口通常被用于 Hadoop 的 YARN 应用程序管理器(web)。在 DorisDB 中,如果您使用了 YARN 集群管理器,那么在配置文件中通常需要指定 8030 端口作为 YARN 应用程序管理器的 HTTP 端口。如果您的 DorisDB 实例无法连接到 YARN 应用程序管理器,可能需要检查该端口是否已被占用或者是否被防火墙阻挡。您可以尝试通过命令行工具(如 telnet 或 nc)测试该端口是否可用。如果端口被防火墙阻挡,您需要配置防火墙规则来允许 DorisDB 实例访问端口
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值