【洋蔥】洋蔥管理系統zookeeper未授權漏洞整改方案
洋蔥
洋蔥管理系統zookeeper未授權漏洞整改方案
使用root賬號分別對192.168.xx.54,192.168.xx.55,192.168.xx.56三臺伺服器的zookeeper服務埠2181埠進行本地防火牆白名單限制。操作步驟如下:
1、防火牆策略備份
使用root賬號輸入命令:
iptables-save >/app/iptables.bak
2、策略配置
(1#、2#...12#,表示操作步驟)
1# iptables -P INPUT ACCEPT --設定所有請求均可訪問
2# iptables -F --清除預設表filter中的所有規則鏈的規則
3# iptables -L -n --檢視定義規則的詳細資訊
4# /etc/rc.d/init.d/iptables save --儲存防火牆策略配置
5# service iptables restart --重啟防火牆
6# iptables -A INPUT -p tcp --dport 22 -j ACCEPT --開放目的 22端口
7# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT --開放輸入22埠
8#
iptables -A INPUT -i lo -j ACCEPT --對 lo 迴環網絡卡進行允許
iptables -I INPUT -p tcp --dport 2181 -j DROP --設定關閉所有2181請求
9# --限制只有指定IP45-59訪問內訪問指定埠2181
iptables -I INPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-ptcp --dport 2181 -j ACCEPT
iptables -I OUTPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59 -ptcp --dport 2888 -j ACCEPT
iptables -I OUTPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-p tcp --dport 2888 -j ACCEPT
iptables -I INPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-ptcp --dport 3888 -j ACCEPT
iptables -I OUTPUT -m iprange --src-range 192.168.xx.45-192.168.xx.59-p tcp --dport 3888 -j ACCEPT
10#/etc/rc.d/init.d/iptables save --儲存防火牆策略配置
11# service iptablesrestart --重啟防火牆
12# service iptablesstatus --檢視防火牆策略
3、驗證方案
A.登入洋蔥服務控制檯檢視檢索是否正常;
B.登入洋蔥前臺檢視服務是否正常;
C.使用洋蔥非白名單IP段伺服器使用命令:
echo envi|nc 192.168.xx.54 2181
echo envi|nc 192.168.xx.55 2181
echo envi|nc 192.168.xx.56 2181
檢視是否可以看到伺服器環境資訊。
4、回退方案
關閉防火牆服務:serviceiptables stop
還原防火牆策略
使用root賬號輸入命令:
iptables-restore</app/iptables.bak