Zookeeper未授权访问漏洞修复

最新推荐文章于 2025-03-25 15:19:37 发布
最新推荐文章于 2025-03-25 15:19:37 发布
阅读量1.3k 收藏
点赞数
分类专栏: Java 技术栈实战 文章标签: zookeeper 分布式 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pingfanderen123/article/details/132969261
版权
本文介绍了如何修复Zookeeper的未授权访问漏洞。首先,通过登录Zookeeper服务添加用户'admin'并设置密码'123456'。接着,为特定IP地址(192.168.6.190和127.0.0.1)和已认证用户(admin)设置ACL权限。最后,通过kCli.cmd工具验证设置的权限是否生效,连接到Zookeeper服务器进行验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、登录 zookeeper服务,添加用户

addauth digest admin:123456

2、添加ip或者用户名字授权

setAcl / ip:192.168.6.190:cdrwa,ip:127.0.0.1:cdrwa,auth:admin:cdrwa

3 登录验证下

kCli.cmd  -server 10.197.1.200:2182

Kafka集群之-ZooKeeper未授权访问漏洞修复
weixin_39863120的博客
07-01 2893
配置 ZooKeeper 的配置文件,修改 文件,添加以下内容: 二、创建 JAAS 文件 在 ZooKeeper 的安装目录下的 目录中创建 文件,并编辑内容如下: 的含义是 ,添加一个用户名为 ,密码为 的认证用户,用户名和密码可以自行定义。因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 文件中的 配置,会在连接时使用用户名和密码。 四、重启 ZooKeeper 服务 重启 ZooKeeper 服务,正常启动一般便无问题。
zookeeper未授权访问漏洞修复
weixin_43966996的博客
05-08 5118
zookeeper进行服务ACL限制访问
ZooKeeper 未授权访问漏洞处理方法
08-31
ZooKeeper 未授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
Zookeeper未授权漏洞修复方案
最新发布
AoiMukou01的博客
03-25 996
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。检查版本信息,zookeeper版本为3.4.14,属于漏洞覆盖范围内。配置白名单后,未授权已无法利用。
zookeeper未授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 5353
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
修复zookeeper未授权访问漏洞
qq_28392947的博客
01-12 3479
【代码】修复zookeeper未授权访问漏洞
Zookeeper未授权访问漏洞处理
Jeuneke的博客
08-28 1962
这个命令可以用于获取Zookeepr(下面有zk代替)目标服务器的环境信息、部署路径、版本等敏感信息。如果这些信息被恶意利用,确实可能导致安全漏洞,进而对网络和服务器安全构成威胁。设置权限后,不同的IP服务器还是能访问到,zookeeper相应的路径,版本,还是有安全隐患.1.执行zkCli.sh 命令后,查看zk的当前权限。配置防火墙策略,只允许指定IP访问2181端口。anyone任何人可以访问
ZooKeeper未授权访问漏洞确认与修复
sdujava2011
02-27 4109
Zookeeper未授权访问漏洞确认与修复
zookeeper未授权访问修复建议
07-14
ZooKeeper 未授权访问修复建议 ZooKeeper 作为一个分布式应用程序协调服务,提供了高效、可靠的分布式锁、队列、节点管理等功能。但是,如果 ZooKeeper 没有正确地配置访问权限,就可能会出现未授权访问的问题,...
zookeeper未授权访问漏洞处理
weixin_50016127的博客
06-27 1万+
zookeeper未授权访问漏洞处理
未授权访问ZooKeeper 未授权访问漏洞
qq_68163788的博客
05-15 4580
zookeeper分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
ZooKeeper未授权访问
weixin_30335353的博客
12-04 2320
1.ZooKeeper概述 ZooKeeper是一个高性能的分布式数据一致性解决方案,它将复杂的,容易出错的分布式一致性服务封装起来,构成一个高效可靠的原语集,并提供一系列简单易用的接口给客户使用 1.1 应用场景: 数据订阅 命名服务:提供名称 1.2 集群角色: Leader服务器是整个zookeeper集群工作机制的核心 Follower服务器是zookeeper集群状态的跟随...
漏洞扫描,zookeeper未授权访问漏洞复现及修复
ChaoandPeng的博客
06-29 6842
ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。0x00 ZooKeeper 安装: Zookeeper的默认开放端口是2181wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.10/zookeeper-3.4.10.tar.gztar -zxvf zookeepre-3.4.10.tar.gz cd zooke
Zookeeper未授权访问漏洞
weixin_53736204的博客
08-04 860
Zookeeper分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口是 2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:ki命令)。攻击者能够执行所有只允许由管理员运行的命令。
存在 ZooKeeper 未授权访问【原理扫描】--通过防火墙策略进行修复
qyq88888的专栏
06-06 944
ELK集群存在 ZooKeeper 未授权访问【原理扫描】
ZooKeeper 未授权访问
热门推荐
ziruominglin的专栏
05-21 1万+
第一步:cd到zookeeper的bin目录下执行: ./zkCli.sh -server localhost:2181第二步:点击回车后,查看节点路径(例如查到的是dubbo): ls /第三步:创建用户:addauth digest test:test123第四步:追加操作权限(/dubbo是第二步查到的):setAcl /zookeeper auth:test:test123:cdrwa第五...
ZooKeeper未授权访问漏洞修复
01-04
### 如何修复ZooKeeper未授权访问漏洞 #### 1. 启用身份验证机制 为了防止未经授权的访问,应启用身份验证机制。可以通过配置`zoo.cfg`文件中的`authProvider`参数来指定使用的认证方式[^1]。 ```properties # zoo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农养家

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值