漏洞修复 Zookeeper、MySQL、Elasticsearch

大数据

漏洞修复

一、HTTP漏洞修复

1.1 漏洞说明

在这里插入图片描述

在这里插入图片描述

1.2 漏洞修复

1.2.1 升级HTTPD到最新版本(2.4.53)

1.2.1.1 服务器有网的情况下执行以下操作:

  1. 安装CodeIT库

    cd /etc/yum.repos.d

    wget https://repo.codeit.guru/codeit.el7.repo

    在这里插入图片描述

  2. 更新httpd

    yum update httpd

  3. 检查是否更新版本

    httpd -version

  4. 重启服务

    systemctl restart httpd

1.2.1.2 服务器没有网执行以下操作

  1. 下载rpm包:

    下载地址:https://repo.codeit.guru/packages/centos/7/x86_64/

  2. 下载以下rpm包

    注意:版本号要与下图一致

  3. 执行以下命令:

rpm -ivh apr-1.7.0-2.el7.x86_64.rpm –force –nodeps

rpm -ivh apr-util-1.6.1-6.el7.x86_64.rpm –force –nodeps

rpm -ivh httpd-filesystem-2.4.53-2.codeit.el7.noarch.rpm –force –nodeps

rpm -ivh httpd-tools-2.4.53-2.codeit.el7.x86_64.rpm –force –nodeps

rpm -ivh openssl-quic-libs-1.1.1n-2.codeit.el7.x86_64.rpm –force –nodeps

rpm -Uvh httpd-2.4.53-2.codeit.el7.x86_64.rpm –force –nodeps

rpm -ivh mod_http2-2.0.2-2.codeit.el7.x86_64.rpm –force –nodeps

4. 查看是否升级成功

httpd -version

5.重启httpd服务

systemctl restart httpd

二、Zookeeper漏洞修复

2.1 漏洞说明

在这里插入图片描述

2.2 漏洞修复

添加防火墙端口规则,禁止端口被外部机器访问:

查看防火墙状态

systemctl status firewalld

启动防火墙

systemctl start firewalld

添加规则,只允许集群内ip访问某个端口,示例

Zookeeper 2181

firewall-cmd –permanent –zone=public –add-port=1-2180/tcp

firewall-cmd –permanent –zone=public –add-port=2182-65535/tcp

firewall-cmd –permanent –zone=public –add-port=1-65535/udp

添加2181 端口向指定ip开放

firewall-cmd –permanent –add-rich-rule=“rule family=“ipv4” source address=“192.168.12.36” port protocol=“tcp” port=“2181” accept”

firewall-cmd –permanent –add-rich-rule=“rule family=“ipv4” source address=“192.168.12.63” port protocol=“tcp” port=“2181” accept”

firewall-cmd –permanent –add-rich-rule=“rule family=“ipv4” source address=“192.168.11.118” port protocol=“tcp” port=“2181” accept”

(放行keepalived组播地址)

firewall-cmd –permanent –direct –add-rule ipv4 filter INPUT 0 –destination 224.0.0.18 –protocol vrrp -j ACCEPT

firewall-cmd –permanent –direct –add-rule ipv4 filter OUTPUT 0 –destination 224.0.0.18 –protocol vrrp -j ACCEPT

重新加载规则

firewall-cmd –reload

查看规则

firewall-cmd –list-all

三、Elasticsearch 未授权访问漏洞

3.1 漏洞说明

在这里插入图片描述

3.2 漏洞修复

3.2.1 设置x-pack证书

查看elasticsearch部署了几个节点,如果是多个节点,需要将生成的elastic-certificates.p12 文件拷贝到其他节点的conf目录下(如果是单节点可忽略此项);
./bin/elasticsearch-certutil ca
./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
注:生成证书文件后检查文件用户权限,可手动修改

3.2.2 开启x-pack认证
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
将以上边配置添加到配置文件中config/elasticsearch.yaml

3.2.3. 生成用户及密码

./bin/elasticsearch-setup-passwords auto(会生成随机密码,要做好备份)

可手动生成:./bin/elasticsearch-setup-passwords interactive

3.2.4. 修改密码

curl -H "Content-Type:application/json" -XPOST -u elastic 'http://127.0.0.1:9200/_xpack/security/user/elastic/_password' -d '{ "password" : "123456" }'

在这里插入图片描述

在这里插入图片描述

四、MySQL安全漏洞

4.1 漏洞说明

在这里插入图片描述

在这里插入图片描述

4.2 漏洞修复

注:根据漏洞扫描说明,升级mysql版本为大版本下的最新版本。如5.6版本只能升级5.6版本,不能升级为5.7版本

示例:mysql 5.6.26升级到mysql 5.6.46

4.2.1 检查mysql版本

mysql –version

4.2.2 下载安装包

https://downloads.mysql.com/archives/community/

4.2.3 备份mysql数据

mysqldump -u root -p iotplatform –all-databases –skip-lock-tables > all-data.sql

4.2.4 停止mysql

mysql -u root -p iotplatform –execute=“SET GLOBAL innodb_fast_shutdown=0”

service mysql stop (集群版,ambari界面停止)

4.2.5 升级安装包

rpm -Uvh MySQL*.rpm

4.2.6 启动mysql

service mysql start (集群版,ambari界面启动)

4.2.7 使用upgrade检查新旧版本兼容性

mysql_upgrade -uroot -p iotplatform

4.2.8 检查mysql版本

rpm -qa |grep -i mysql

mysql –version

五、JAVA JMX agent不安全的配置漏洞

5.1 漏洞说明

在这里插入图片描述

5.2 漏洞修复

编辑启动脚本,删除此配置项 -Dcom.sun.management.jmxremote.port=8118 ,并重启服务

vim /opt/xxx/xxx/xx/xxx/bin/startup.sh

在这里插入图片描述

六、Docker Remote API未授权漏洞

6.1 漏洞说明

在这里插入图片描述

6.2 漏洞修复

修改docker配置文件/etc/docker/daemon.json

{
        "bip": "172.25.0.1/16",
        "hosts": ["tcp://0.0.0.0:2375", "unix:///var/run/docker.sock" ]
}
将IP 修改成127.0.0.1
 {
        "bip": "172.25.0.1/16",
        "hosts": ["tcp://127.0.0.1:2375", "unix:///var/run/docker.sock" ]
}

七、慢Dos攻击

7.1 漏洞说明

在这里插入图片描述

7.2 漏洞修复

描述:

将修改connectionTimeout=“20000”,将20000修改成2000即可

修改前:

  
  
修改后:

本文来自网络,不代表协通编程立场,如若转载,请注明出处:https://net2asp.com/9a355c9d3b.html

(0)
« 上一篇 1天前
下一篇 » 1天前

相关推荐

  • 软考数据库详细知识点整理(全) 数据库

    软考数据库详细知识点整理(全)

    目录 第一章 计算机系统基本知识 1.1 计算机系统 1.1.1 计算机硬件组成 1.1.2 中央处理单元 1.1.3 数据表示 1.1.4 校验码 1.2 计算机体系结构 1.2…

    1天前
  • Lua语法基本使用 前端

    Lua语法基本使用

    🍓 简介:java系列技术分享(👉持续更新中…🔥) 🍓 初衷:一起学习、一起进步、坚持不懈 🍓 如果…

    1天前
  • h5键盘弹起遮挡输入框的处理 前端

    h5键盘弹起遮挡输入框的处理

    一、前言: 混合开发中遇到一个问题,有些型号的安卓机和ios机型,输入框唤起键盘后,输入框会被键盘遮挡,需要手动滑动才能漏出来,影响用户体验 二、解决办法: 1.ios和andro…

    1天前
  • 15套前端经典实战项目大合集,小白练手必备实战项目 前端

    15套前端经典实战项目大合集,小白练手必备实战项目

    15套前端经典实战项目大合集,悄悄练习,你会惊艳所有人。 今日我以内卷为荣,明日内卷以我为荣,不管学习哪门语言都要做出实际的东西来,这个实际的东西就是项目。 这里整理了15前端经典…

    1天前
  • idea中yml文件没有提示解决办法 前端

    idea中yml文件没有提示解决办法

    两步解决yml文件不显示提示,yaml文件显示提示问题 1、在插件中心,先下载下图两个插件 2、在Editor=》File Types新增文件类型,文件名匹配规则需要将yaml和y…

    1天前

  • [lighttpd]lighttpd配置http强制跳转https

    参考链接 HowToRedirectHttpToHttps – Lighttpd – lighty labs lighttpd版本 / # lighttpd…

    前端 1天前

  • 【开发工具】从eclipse到idea的过度

    背景 随着eclipse相比以前性能慢了不少,idea在开发工具领域越战越猛,市场份额也逐年增加,其体验得了软件工程师的热爱。 概要 本文只是做了一个简要的记录,简单描述下本人从e…

    前端 1天前
  • 橘子学ES实战操作01之集群模式如何实现快照备份 前端

    橘子学ES实战操作01之集群模式如何实现快照备份

    我们知道ES中通过副本在一定意义上实现了数据的备份和高可用。但是我们说万一副本数据丢失了,不小心被rm -f了,你就说逆天不逆天吧,此时要实现数据真正意义上的备份就要使用到快照机制…

    1天前
  • Java-IDEA 启动Tomcat控制台中文乱码解决 前端

    Java-IDEA 启动Tomcat控制台中文乱码解决

    1、中文乱码原因   基本上大家安装的windows系统本地语言都是选择中文(不会有人选择英文吧?不会吧?不会吧?),也就是GBK编码;而IDEA或者Tomcat日志使用的是UTF…

    1天前

  • ES如何搜索两个索引

    在Elasticsearch(ES)中,索引是存储和查询数据的地方,而联合查询是查询多个索引的能力。当你在ES中查询时,可以指定要查询的索引。 如果你要查询两个不同的索引,你可以在…

    前端 1天前