【补补漏洞吧 | 02】等保测评ZooKeeperElasticsearch未授权访问漏洞补漏方法
一、项目背景
客户新系统上线,因为行业网络安全要求,需要做等保测评, 通过第三方漏扫工具扫描系统,漏扫报告显示ZooKeeper和 Elasticsearch 服务各拥有一个漏洞,具体结果如下:
1、ZooKeeper 未授权访问【原理扫描】(中危)
2、Elasticsearch 未授权访问【原理扫描】(高危)
如果按照漏扫工具给出的解决方法,创建对应的授权用户,会导致服务之间的连接调用出现问题,所 以,要解决这两个漏洞,需要设置防火墙规则。
二、补漏步骤
1、安装 iptables 防火墙
yum -y install iptables2、配置防火墙规则:只允许本地服务器访问
可以使用命令配置,也可以写入 iptables 规则文件
vim /etc/sysconfig/iptables# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT#本机服务器地址-A INPUT -s 172.16.30.67/32 -p tcp -j ACCEPT#本地服务器地址-A INPUT -s 172.16.30.60/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.61/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.62/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.63/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.64/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.65/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.66/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.68/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.69/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.70/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.71/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.11/32 -p tcp -j ACCEPT#容器calico使用的ip地址
-A INPUT -s 172.17.0.0/16 -p tcp -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT 3、 重启 iptables
systemctl start iptables
systemctl enable iptables 4、 测试系统是否可用