沂南网站开发,无锡阿里巴巴做网站,上海建设工程服务平台,附近有没有学电脑培训的一、项目背景 客户新系统上线#xff0c;因为行业网络安全要求#xff0c;需要做等保测评#xff0c; 通过第三方漏扫工具扫描系统#xff0c;漏扫报告显示ZooKeeper和 Elasticsearch 服务各拥有一个漏洞#xff0c;具体结果如下#xff1a; 1、ZooKeeper 未授权访问【…一、项目背景
客户新系统上线因为行业网络安全要求需要做等保测评 通过第三方漏扫工具扫描系统漏扫报告显示ZooKeeper和 Elasticsearch 服务各拥有一个漏洞具体结果如下 1、ZooKeeper 未授权访问【原理扫描】中危 2、Elasticsearch 未授权访问【原理扫描】高危 如果按照漏扫工具给出的解决方法创建对应的授权用户会导致服务之间的连接调用出现问题所 以要解决这两个漏洞需要设置防火墙规则。 二、补漏步骤 1、安装 iptables 防火墙 yum -y install iptables 2、配置防火墙规则只允许本地服务器访问 可以使用命令配置也可以写入 iptables 规则文件 vim /etc/sysconfig/iptables# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT#本机服务器地址-A INPUT -s 172.16.30.67/32 -p tcp -j ACCEPT#本地服务器地址-A INPUT -s 172.16.30.60/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.61/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.62/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.63/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.64/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.65/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.66/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.68/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.69/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.70/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.71/32 -p tcp -j ACCEPT
-A INPUT -s 172.16.30.11/32 -p tcp -j ACCEPT#容器calico使用的ip地址
-A INPUT -s 172.17.0.0/16 -p tcp -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT 3、 重启 iptables systemctl start iptables
systemctl enable iptables 4、 测试系统是否可用
