zookeeper未授權(quán)訪問滲透測試及修復方法

今天就跟大家聊聊有關(guān)zookeeper未授權(quán)訪問滲透測試及修復方法，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

zookeeper未授權(quán)訪問危害

服務(wù)器信息泄露、集群被破壞

一、 四字命令未授權(quán)使用

工具：netcat ，Linux或Windows都可以測

命令行輸入echo envi|nc 10.10.10.10 2181即可查看服務(wù)器信息

命令有：https://www.runoob.com/w3cnote/zookeeper-sc-4lw.html

修復：不想泄露信息可以修改zookeeper/conf/zoo.cfg（zookeeper為安裝目錄），注釋掉4lw.commands.whitelist相關(guān)的行。四字命令用于查詢狀態(tài)，zookeeper默認不開放這些命令，只有在白名單中才能運行。

二、 未授權(quán)連接及節(jié)點操作

工具：Linux下安裝zookeeper；或Windows下使用Java8運行zktools

https://blog.csdn.net/rongbaojian/article/details/82078368

Linux下，輸入 zookeeper/bin/zkCli.sh -server 10.10.10.10:2181 即可連接，可使用get /node watch或set /node 1等命令去操作節(jié)點，如果成功，則證明此節(jié)點存在未授權(quán)訪問。

Windows下，只要zktools連接成功，則證明所有節(jié)點存在未授權(quán)訪問。值得注意的是，如果某個節(jié)點有權(quán)限控制，那么zktools就無法連接成功，無法訪問其他未授權(quán)節(jié)點了。但是Linux下zkCli.sh仍可訪問其他未授權(quán)節(jié)點。

修復：

1、ip  ACL授權(quán)策略

可以使用setAcl -R /node ip:127.0.0.1:cdrwa,ip:10.10.11.11:cdrwa （-R為遞歸，cdrwa為權(quán)限）等操作限制訪問節(jié)點的IP

2、auth ACL授權(quán)策略

即用戶模式，制定策略后，訪問者必須使用addauth digest user:passwd登錄才能進行節(jié)點操作。

策略制定方法為，用zkCli.sh連接后，在其中運行addauth digest user:passwd（digest是固定的）來注冊用戶，可以有多個用戶。然后運行setAcl /node auth::cdrwa（auth是固定的），之后可運行g(shù)etAcl /node查看，能發(fā)現(xiàn)之前注冊的用戶都被配入了節(jié)點的權(quán)限中。使用quit退出，再連接，可發(fā)現(xiàn)只有在addauth登錄之后才能操作節(jié)點。

3、digest Acl授權(quán)策略

不難發(fā)現(xiàn)策略2中，所有用戶對節(jié)點的權(quán)限都是一致的，只能統(tǒng)一設(shè)置，若想使不同用戶對節(jié)點的權(quán)限不同，可以使用digest Acl授權(quán)策略，參見https://blog.csdn.net/u014630623/article/details/103749103

4、防火墻策略

使用以上策略限制節(jié)點后，任意用戶仍可登錄并用ls / 查看節(jié)點名字，但是無法獲得詳細信息和進行操作。若想不讓任意用戶訪問2181端口，可以配置防火墻。

看完上述內(nèi)容，你們對zookeeper未授權(quán)訪問滲透測試及修復方法有進一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。