zookeeper未授权访问漏洞修复

原创 已于 2025-05-29 10:52:16 修改 · 置顶 · 5.8k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#zookeeper #linux

于 2024-05-08 16:52:38 首次发布

zookeeper默认所有地址可访问,存在安全问题,除升级对应版的最高版本外,还需进行服务ACL限制访问。

1、登录zookeeper

进度到zk的安装bin目录

cd  /地址省略/zookeeper3-4.-14/bin

执行命令:

./zkCli.sh -server ip:2181

ip根据自己实际服务器进行填写

登录截图:

2、查看当前权限

执行命令

getAcl /

可以看到当前可访问为anyone,所有人可访问,我们需要对它进行限制

3、限制访问设置

命令:

setAcl / ip:127.0.0.1:cdrwa,ip:ip1:cdrwa,ip:ip2:cdrwa

其中127.0.01标识本机,ip1和ip2根据实际需求进行灵活调整

cdrwa每个参数代表的意思:c:创建(Create)d:删除(Delete)r:读取(Read)w:写入(Write)a:访问(Access)

cdrwa也可根据实际需求进行调整

4、校验

同样使用getAcl /查看是否设置成功

5退出zk

执行quit退出zk

6补充内容

如果不小心设置失误导致本机没有访问zk的权限,做如下操作

1、在zoo.cfg文件中加上配置:skipACL=yes

2、重启zook后,再使用setAcl设置对应的权限

3、确认权限设置好之后,注释配置zoo.cfg配置文件中的skipACL=yes
4、重启zook。

--设置为所有人可访问:

setAcl  / world:anyone:cdrwa

【补充内容】:上述限制ip的方式虽然可以限制节点访问,但是未授权依然可以连接,执行nc命令依然可以获取一些信息,比如执行 echo envi | nc <IP> 2181还是可以获取zk环境的信息。

补充一种防火墙限制2181端口访问的措施

******************************************分界线*********************************************************

【注】以下防火墙命令执行需要root账号或者账号拥有 sudo权限,如果是sudo权限,每个命令前面加sudo
#限制所有ip访问2181端口,(第一步)
iptables -I INPUT -p tcp --dport 2181 -j DROP

iptables -I INPUT -p tcp --dport 2181 -j REJECT
#设置可访问2181的ip(第二步)--记得添加本机ip
iptables -I INPUT -s <本机IP> -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s <授权IP> -p tcp --dport 2181 -j ACCEPT

#保存(第三步)
service iptables save
#重启(第四步)
service iptables restart
#打印配置内容
iptables -L

#清除规则
sudo iptables -D INPUT -p tcp --dport 2181 -j REJECT
这条命令会删除INPUT链中针对端口2181的拒绝(REJECT)规则。如果你之前设置的是DROP规则,你需要将REJECT替换为DROP
sudo iptables -D INPUT -p tcp --dport 8080 -j DROP

【补充】删除设定的对应iptables -I INPUT -s <本机IP> -p tcp --dport 2181 -j ACCEPT授权

只需要将-I改为-D即可:如

iptables -D INPUT -s XX.XX.XX.XX -p tcp --dport 2181 -j ACCEPT

#验证,在另一台机子上执行以下命令,看是否输出内容
 echo envi | nc 10.190.133.18 2181

上述防火墙是red hat版本下使用,但如果系统版本是CentOs7时,防火墙使用的不是iptables,而是firewalld,则使用下述操作。

1、查看防火墙状态

systemctl status firewalld或者 firewall-cmd --state

如果防火墙没启动,则启动。

2、启动防火墙

systemctl start firewalld

3、允许制定ip访问特定端口

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.33.254' port protocol='tcp' port='3306' accept"

这条命令只允许IP地址为192.168.33.254的设备访问3306端口。

4、重新加载生效

service firewalld reload

5、查看已经添加的规则

firewall-cmd --list-rich-rules

更多防火墙操作--->https://blog.youkuaiyun.com/weixin_43966996/article/details/145259401https://blog.youkuaiyun.com/weixin_43966996/article/details/145259401

叩叮ING
关注
Zookeeper未授权访问漏洞修复
码农养家
09-18 1462
Zookeeper未授权访问漏洞修复
修复zookeeper未授权访问漏洞
qq_28392947的博客
01-12 3579
【代码】修复zookeeper未授权访问漏洞
Zookeeper未授权访问漏洞
三旬的博客
02-19 2165
Zookeeper支持某些特定的四字查询命令,可以未授权访问,从而泄露zookeeper服务的相关信息,这些信息可能作为进一步入侵其他系统和服务的跳板,利用这些信息实现权限提升并逐渐扩大攻击范围。常见的四字命令有 envi、conf、cons、crst、dump、ruok、stat、srvr、mntr。
未授权访问漏洞复现及总结
最新发布
weixin_42659194的博客
06-18 53
常见的漏洞有FTP 未授权访问(21)、Rsync 未授权访问(873)、ZooKeeper 未授权访问(2181)、Docker 未授权访问(2375)、VNC 未授权访问(5900、5901)、Redis 未授权访问(6379)、JBoss 未授权访问(8080)、Jenkins 未授权访问(8080)、HadoopYARN 未授权访问(8088)、MongoDB 未授权访问(27017)等。在应急响应未授权访问漏洞事件时,“快速隔离、详尽取证、彻底根除、持续监控” 是核心原则。
zookeeper未授权访问漏洞通过添加ip白名单处理
Sir.He的博客
09-23 2555
zookeeper如何设置ip白名单 简介: zookeeper未授权访问漏洞,处理这个漏洞最简单,常用的应该就是给zookeeper添加用户名、密码验证,如果项目比较急,且代码不支持zookeeper的用户名、密码验证,那采用ip白名单过滤,无疑是最快、最有效的方法之一。 要求:zookeeper版本要求3.5以上白名单才支持设置ip地址段 一、 zookeeper设置ip白名单 1、进入zk的安装目录输入命令: cat /conf/zoo.conf 查看​​​​​zk的clientPort端口
Zookeeper未授权漏洞修复方案
AoiMukou01的博客
03-25 1418
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。检查版本信息,zookeeper版本为3.4.14,属于漏洞覆盖范围内。配置白名单后,未授权已无法利用。
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
ZooKeeper 未授权访问漏洞处理方法
08-31
ZooKeeper 未授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
zookeeper未授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 5612
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
Kafka集群之-ZooKeeper未授权访问漏洞修复
IT技术学习与工作笔记分享
07-01 3162
配置 ZooKeeper 的配置文件,修改 文件,添加以下内容: 二、创建 JAAS 文件 在 ZooKeeper 的安装目录下的 目录中创建 文件,并编辑内容如下: 的含义是 ,添加一个用户名为 ,密码为 的认证用户,用户名和密码可以自行定义。因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 文件中的 配置,会在连接时使用用户名和密码。 四、重启 ZooKeeper 服务 重启 ZooKeeper 服务,正常启动一般便无问题。
zookeeper未授权访问漏洞处理
热门推荐
weixin_50016127的博客
06-27 1万+
zookeeper未授权访问漏洞处理
zookeeper安全漏洞修复
01-17
ZooKeeper 未授权访问【原理扫描】,zookeeper安全漏洞修复方法和操作步骤
zookeeper未授权访问修复建议
07-14
zookeeper未授权访问修复建议
ZooKeeper未授权访问漏洞确认与修复
sdujava2011
02-27 4183
Zookeeper未授权访问漏洞确认与修复
Linux-ZooKeeper未授权访问漏洞修复方案
weixin_44281516的博客
04-27 2713
直接访问url https://blog.youkuaiyun.com/baidu_39459954/article/details/90748332
Zookeeper未授权访问漏洞处理
Jeuneke的博客
08-28 2039
这个命令可以用于获取Zookeepr(下面有zk代替)目标服务器的环境信息、部署路径、版本等敏感信息。如果这些信息被恶意利用,确实可能导致安全漏洞,进而对网络和服务器安全构成威胁。设置权限后,不同的IP服务器还是能访问到,zookeeper相应的路径,版本,还是有安全隐患.1.执行zkCli.sh 命令后,查看zk的当前权限。配置防火墙策略,只允许指定IP访问2181端口。anyone任何人可以访问
【HDP】zookeeper未授权漏洞修复
康师傅没有眼泪
09-27 6489
ruok命令的输出仅仅只能表明当前服务器是否在运行,准确的说是2181端口打开着,同时四字命令执行流程正常,但不能代表ZooKeeper服务器是否运行正常。wchp命令和wchc命令非常类似,也是用于输出当前服务器上管理的Watcher的详细信息,不同点在于wchp命令的输出信息以节点路径为单位进行归组。srvr命令和stat命令的功能一致,唯一的区别的是srvr不会将客户端的连接情况输出,仅仅输出服务器自身的信息。srst是一个功能性的命令,用于重置所有服务器的统计信息。
[2021]Zookeeper getAcl命令未授权访问漏洞概述与解决
NBA首席形象大使坤坤
04-07 3571
今天在漏洞扫描的时候蹦出来一个zookeeper漏洞问题,即使是非zookeeper的节点,或者是非集群内部节点,也可以通过nc扫描2181端口,获取极多的zk信息。关于漏洞的详细描述参考apache zookeeper官方概述:CVE-2018-8012: Apache ZooKeeper Quorum Peer mutual authentication 漏洞演示: 这是一个CDP集群,里面有三个物理节点,每个节点各自有一个zk实例,注意看IP。 另开一台非集群节点的连接,使用echo conf
存在 ZooKeeper 未授权访问【原理扫描】--通过防火墙策略进行修复
qyq88888的专栏
06-06 1026
ELK集群存在 ZooKeeper 未授权访问【原理扫描】
ZooKeeper未授权访问漏洞修复
01-04
### 如何修复ZooKeeper未授权访问漏洞 #### 1. 启用身份验证机制 为了防止未经授权的访问,应启用身份验证机制。可以通过配置`zoo.cfg`文件中的`authProvider`参数来指定使用的认证方式[^1]。 ```properties # zoo.cfg 配置示例 authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider ``` #### 2. 设置ACL (Access Control Lists) 对于敏感节点设置严格的ACL策略,确保只有特定用户或IP地址能够对其进行操作。这涉及到创建并应用合适的权限列表到各个ZNode上。 ```java // Java API 示例代码片段 List<ACL> acl = new ArrayList<>(); acl.add(new ACL(ZooDefs.Perms.ALL, new Id("ip", "192.168.0.1"))); zk.create("/path/to/node", data.getBytes(), acl, CreateMode.PERSISTENT); ``` #### 3. 使用加密通信协议 采用SSL/TLS加密通道传输数据,保护网络流量不被窃听或篡改。具体做法是在启动命令中加入JVM参数指向keystore和truststore位置[^3]。 ```bash -Djavax.net.ssl.keyStore=/path/to/keystore.jks \ -Djavax.net.ssl.trustStore=/path/to/truststore.jks \ -Djavax.net.debug=ssl ``` #### 4. 参考官方文档和其他资源 遵循《ZooKeeper Security Guide》提供的指导方针,了解最新的安全特性和技术细节;利用像Curator Framework这样的第三方库简化开发过程的同时增强安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值