安全基线-未授权访问
| 检测项 | 检测项描述 | 处理建议 | 检测规则 | 威胁等级 |
|---|---|---|---|---|
| Redis 基线合规检测 | 如果 Redis 以 root 权限启动且未授权访问,则会造成任意文件写入,最终导致命令执行漏洞。通过命令注入漏洞,黑客可以在服务器上执行任意系统命令,获取服务器权限,造成服务器敏感信息和源代码泄漏。 | 1. 以低权限用户权限启动 Redis;2. 如非业务需要,绑定 Redis 在 具体IP 而非 0.0.0.0;3. 删除 Redis 的 CONFIG、SAVE 等命令4. 开启 AUTH 密码验证(仍然有被利用的风险,所以不会取消安全提醒) | Redis 基线合规检测 | 高危 |
| Kubelet 未授权访问 | Kubelet 未限制访问来源且未配置任何认证,导致攻击者可以在任意 Pod 中执行任意代码。也可以造成 Pod 泄漏导致敏感信息泄漏等。 | 1. kubelet 监听在本地:—address=127.0.0.12. kubelet server 禁止匿名访问:—anonymous-auth=false如果已经通过防火墙等方式对端口访问进行限制,请忽略。3. 配置证书:—client-ca-file=path/to/ca,—kubelet-client-certificate,—kubelet-client-key | Kubelet 未授权访问 | 高危 |
| Hadoop未授权访问 | 如果配置不当,将会导致HDFS的服务端口被黑客利用,黑客可以通过命令行操作多个目录下的数据,如进行删除操作。当前已出现黑客利用该问题备份删除数据并进行勒索的事件。 | 1、如无必要,关闭Hadoop Web管理页面;2、开启服务级别身份验证,如Kerberos认证;3、部署Knox、Nginx之类的反向代理系统,防止未经授权用户访问;4、设置“安全组”访问控制策略,将 Hadoop 默认开放的多个端口对公网全部禁止或限制可信任的 IP 地址才能访问相关端口。更多修复建议可以参考:https://cloud.tencent.com/developer/article/2051018 | Hadoop未授权访问 | 低危 |
| MongoDB未授权访问 | 启动的MongoDB服务时如果不添加任何参数时,默认是没有权限验证的,黑客可以远程访问数据库,登录的用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作,过去已发现黑客利用该漏洞对受影响的用户实施数据勒索。 | 1、建议修改默认的27017端口为其他端口,如29017 2、启动MongodDB的时候增加 —auth或者在配置文件中将auth设置为True开启鉴权,并在admin表添加管理用户 3、通过bind_ip绑定服务器启动IP,避免绑定在0.0.0.0导致服务暴露在外网 4、推荐使用腾讯云文档数据库 MongoDB服务,无需担心未授权访问问题。更多修复建议可以参考https://cloud.tencent.com/developer/article/1727227 | MongoDB未授权访问 | 高危 |
| Elasticsearch未授权访问 | 默认安装情况下,Elasticsearch会开启并监听9200端口,但是对于该端口并没有访问控制,恶意用户可以在未授权的情况下通过浏览器访问ip:9200/_nodes/stats等链接获得系统信息、以及存储的敏感数据等;在低版本(<1.7.1)的ElasticSearch可直接执行系统命令,导致服务器被入侵。 | 1)增加验证,官方推荐并且经过认证的是shield插件,也可使用elasticsearch-http-basic,searchguard插件;2)使用Nginx搭建反向代理,通过配置Nginx实现对Elasticsearch的认证;3)如果是单台部署的Elasticsearch,9200端口不要对外开放;4)使用1.7.1以上的版本; | Elasticsearch未授权访问 | 高危 |
| ZooKeeper 未授权访问 | ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。在默认安装情况下,ZooKeeper会绑定在0.0.0.0:2181,并且没有访问授权校验,会导致未授权访问问题,攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令),同时能够执行所有只允许由管理员运行的命令。 | 1、不要把Zookeeper服务暴露在公网,可以通过iptables、安全组等方式限制访问IP。2、参考http://blog.51cto.com/aiilive/1686132添加访问控制 | ZooKeeper 未授权访问 | 中危 |
| CouchDB未授权访问 | CouchDB是一个开源的面向文档的数据库管理系统,由于CouchDB可通过BRESTful JavaScript ObjectNotation (JSON) API访问,默认会开放5984端口,6984端口(ssl),默认配置不进行验证,因此任意用户均可通过API访问导致未授权访问,进而导致入侵等风险 | 1、指定CouchDB绑定的IP(需要重启CouchDB才能生效);修改 /etc/couchdb/local.ini 文件中的 “bind_address = 0.0.0.0” ,将 0.0.0.0 改为 127.0.0.1 ,保存;注意:修改后只有本机才能访问CouchDB;2、设置访问密码(重启CouchDB才能生效);在 /etc/couchdb/local.ini 中找到“[admins]”字段配置密码;3、设置WWW-Authenticate认证; | CouchDB未授权访问 | 高危 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Nues!
评论
