Hadoop&hbase监控页面未授权访问漏洞处理方案验证过程实现

最新推荐文章于 2025-06-24 18:32:15 发布
最新推荐文章于 2025-06-24 18:32:15 发布
阅读量9.6k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 大数据运维 文章标签: hadoop hbase 未授权 漏洞 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42621434/article/details/83506870
本文详细介绍了Hadoop和Hbase监控页面未授权访问漏洞的处理方案,包括页面弹出框授权和HTTP simple授权的配置步骤,以及相关验证过程。通过修改配置文件、添加jar包、设置用户密码等方法,实现了监控页面的授权登录,确保了大数据平台的安全访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Hadoop&hbase监控页面未授权访问漏洞处理方案验证

Hadoop:监控页面授权登录配置步骤:
1 页面弹出框授权
1.1页面弹出框授权配置

1.上传附件的jar包hadoop-http-auth-e3base.jar到$HADOOP_HOME/share/hadoop/common目录下
并分发到另外两台主机

2.修改$HADOOP_HOME/etc/hadoop/core-site.xml增加相关配置
<!–Hadoop 弹出框方式增加用户密码校验–>
<property>
<name>hadoop.http.filter.initializers</name>
<value>org.apache.hadoop.security.AuthenticationFilterInitializer</value>
</property>
<property>
<name>hadoop.http.authentication.type</name>
<value>org.apache.hadoop.security.authentication.server.SitechAuthenticationHandler</value>
</property>
<property>
<name>hadoop.http.authentication.token.validity</name>
<value>3600</value>
</property>
<property>
<name>hadoop.http.authentication.sitech.staticuser.user
<value>e3base:Abcd1234
</property>
<property>
<name>hadoop.http.authentication.cookie.domain</name>
<value></value>
</property>
<property>
<name>hadoop.http.authentication.simple.anonymous.allowed</name>
<value>false</value>
</property>
其中
hadoop.http.authentication.sitech.staticuser.user的值为 :<用户名>:<密码>
注:由于用户名和密码是用冒号作为分割,所以设置的用户名中不能有冒号,设置的密码中也不能包含有冒号,否则无法识别。且登陆的用户,只能设置一个

3.将core-site.xml分发到hadoop集群的其他主机上
4.重启hadoop
1.2 页面弹出框授权验证
修改完后

最低0.47元/天 解锁文章

200万优质内容无限畅学
16、Hadoop安全与生态系统:保障数据处理安全与效率
loss4bartender的博客
07-17 37
本文深入探讨了Hadoop的安全机制与生态系统,涵盖了数据加密解密流程、应用程序安全保障、令牌机制、安全容器使用、中间数据保护等内容,并介绍了Apache Bigtop在构建和管理大数据软件栈中的作用。同时,还阐述了如何根据需求创建自定义的软件栈及其部署与管理方法,旨在帮助企业构建安全、高效的数据处理平台。
代码角度分析及简单防护之未授权访问
无心的博客
12-10 1469
未授权访问,在平时的测试中,应该是比较容易的一个漏洞,只需要通过御剑等等软件来进行扫描,就可能得到一个未授权访问漏洞。 但是,它是什么原因造成的,请听我娓(xia)娓(bi)道(bi)来。 以下所有代码都是我自己写的,可能有不美观,代码错误等等问题,希望大家可以指正。 漏洞讲解 如下,这是一个登陆框,login.php 在平时的测试中,我们往往可以去尝试直接访问某些关键的文件,如果它的验证代码有...
H2database 未授权访问 vulhub
c0529的博客
06-12 588
打开之后是一个访问页面,我们需要用java语言驱动让这个网站主动访问其他主机并且执行命令,我们需要用到一开始写在最前面的工具进行生成rmi。我出现的一个问题就是反弹不出去,我想了想可能是要在我的外网上面java生成命令才对,但是等我反应过来,我已经把容器关掉了。在驱动选择:javax.naming.InitialContext。被反弹shell的机子:可以就用kali,或者配一台外网服务器。出现下方红色的字体就成功了,同时你的主机检测到了这个网站的访问。虚拟机:kali+docker。
Hadoop(开源的分布式计算框架)
最新发布
ctlongs的博客
06-24 874
从官网或镜像站下载 Hadoop 安装包(如。查看 HDFS 状态。
HBase0.94在flush操作时候的一个漏洞
云计算、分布式架构、K8S、大数据、机器学习、搜索、推荐、广告
12-16 2558
基于HBase0.94版本,在高并发写操作时,运行时偶尔出现丢失数据的情况,查看了HBase的日志,出现一下信息,WARN org.apache.hadoop.hbase.regionserver.MemStore: Snapshot called again without clearing previous. Doing nothing. Another ongoing flush or di
数据库安全&Redis&CouchDB&H2database&未授权访问&CVE 漏洞
2302_80396242的博客
05-25 588
对服务进行类别划分,通过服务功能理解,如数据库有帐号密码就有爆破利用方法,也可。进行漏洞测试及服务常见的错误安全配置导致的未授权访问等。导致任意用户在可以访问目标服务器的情况下未授权访问。编写、支持网络、可基于内存亦可持久化的日志型、组合判断:利用搭建常见组合分析可能开放服务。信息来源:访问端口提示软件版本,应用信息等。端口扫描:利用服务开启后目标端口开放判断。键值存储数据库,并提供多种语言的。如果在没有开启认证的情况下,可以。漏洞未授权访问,弱口令爆破等。注意:部分没目录权限读写权限。
服务攻防-数据库安全&Redis&CouchDB&H2database&未授权访问&CVE漏洞
zyw268的博客
05-06 354
数据库应用-H2database--未授权访问&CVE漏洞。数据库应用-Couchdb-未授权越权&CVE漏洞。数据库应用-Redis-未授权访问&CVE漏洞
清华大学精品大数据实战课程(HadoopHbase、Hive、Spark)PPT课件含习题(25页) 第5章 安全管理.pptx
05-23
保密性要求只有经过授权的用户才能访问数据,防止数据泄露;完整性则要求数据在存储和传输过程中不被非法篡改,保证数据的真实性;可用性则确保数据及其相关服务在需要时可以正常提供,不受网络攻击或其他因素的影响...
hadoop-2.7.6
05-14
如Hive(数据仓库工具)、Pig(数据分析工具)、HBase(NoSQL数据库)、Spark(快速数据处理框架)、Zookeeper(分布式协调服务)等,它们与Hadoop紧密配合,提供了一整套大数据解决方案。 6. **维护与升级**: - ...
Trino与Hadoop集成优化:实现数据处理能力的最大化
[Trino与Hadoop集成优化:实现数据处理能力的最大化](https://www.oreilly.com/api/v2/epubs/9781098107703/files/assets/trno_0103.png) # 摘要 本论文深入探讨了Trino与Hadoop集成的基础知识、技术原理、性能优化...
H2database-未授权访问漏洞复现
weixin_45366453的博客
06-29 3864
H2 database是一款Java内存数据库,多用于单元测试。默认端口:20051H2 database自带一个Web管理页面,在Spirng开发中,如果我们设置如下选项,即可允许外部用户访问Web管理页面,且没有鉴权: 利用这个管理页面,我们可以进行JNDI注入攻击,进而在目标环境下执行任意命令。执行如下命令启动一个Springboot + h2database环境:启动后,访问即可查看到H2 database的管理页面。下载JNDI-Injection-Exploithttps://github.co
hbase监控工具hbtop CDH6.3.2版本
10-19
hbase监控工具hbtop CDH6.3.2版本,用于监控表、namespace的访问情况,可快速定位问题
H2 Database Console未授权访问漏洞封堵
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
07-05 797
H2 Database Console未授权访问,默认情况下自动创建不存在的数据库,从而导致未授权访问。网络上能搜到各种未授权访问的教程,但是它怎么封堵呢?
linux漏洞修复rpc类,Apache HBase RPC身份验证中间人安全措施绕过漏洞(CVE-2013-2192)
weixin_33602725的博客
05-16 300
发布日期:2013-08-23更新日期:2013-08-28受影响系统:Apache Group HBase 2.xApache Group HBase 1.xApache Group HBase 0.23.x不受影响系统:Apache Group HBase <= 2.0.6-alphaApache Group HBase <= 1.2.1Apache Group HBase &lt...
Hbase权限访问命令、报错:Grant无权限(acl文件少了)
小方的博客
09-20 3292
hbase权限访问
Apache HBase RPC身份验证中间人安全措施绕过漏洞(CVE-2013-2193)
weixin_30834783的博客
08-28 196
漏洞版本: Apache Group HBase 0.94.x Apache Group HBase 0.92.x 漏洞描述: BUGTRAQ ID: 61981 CVE(CAN) ID: CVE-2013-2193 HBase是一个分布式、版本化、构建在Apache Hadoop和Apache ZooKeeper上的列数据库 HBase 0.92.x、0.94...
数据库应用-H2database--未授权访问&命令执行漏洞
XXokok的博客
11-26 1119
数据库应用-H2database--未授权访问&命令执行漏洞
HBase无法给用户赋权的解决方案
a13568hki的博客
05-14 518
安装过程hbase并没有任何特殊设置,只要在hdfs上创建一个/hbase目录,启动hbase master就会自动创建需要的文件。2.以开始以为语法有错误,不会啊,很简单的语法。经过测试几个命令发现,但凡和权限相关的命令,都失败了。之后删除zookeeper的hbase信息,和hdfs的hbase目录,重启hbase就好了。百度到一些建议,需要检查参数,在确认下面几个参数都设置正确的情况下,问题依旧。4.下面这句话,提醒了我,是不是hbase:acl丢失了?建表之后,在赋权的时候,发现有错误。
未授权访问Hadoop 未授权访问漏洞
qq_68163788的博客
05-20 2907
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值