本周,运维告知部署的服务被扫描发现漏洞,涉及的软件分别为mysql,ZooKeeper与Elasticsearch.
因为最近任务繁重,人力资源紧张,因此无法抽出更多时间调整代码,添加权限认证.
与软件部署人员确认,上述三个软件均为内网访问,因此采用以下方式进行处理:
(1) mysql设置访问ip地址,即仅允许同一网段的若干台机器进行访问;
(2) ZooKeeper以及Elasticsearch主机添加ip访问限制仅允许同一网段的若干台机器进行访问.
mysql设置
-
-
#登陆mysql
-
mysql -u root -p
-
-
use mysql;
-
-
#获取mysql用户允许访问主机情况
-
select host,user from `user`;
-
-
#更新访问主机信息(此处假定用户为hello)
-
update user set host='172.20.192.%' where user='hello';
-
-
#更新权限
-
flush privileges;
-
-
#退出
-
exit
iptables设置
主机均为centos,此处以ZooKeeper所在主机作为示范.
-
#查看主机端口占用情况(查看可知`ZooKeeper`开放`2181`端口)
-
netstat -tnl
-
-
#查看端口连接情况
-
netstat -anp |
grep
2181
-
-
#关闭`firewalld`服务
-
systemctl stop firewalld
-
systemctl mask firewalld
-
-
#安装`iptables`
-
yum install iptables-services
-
-
#设置`iptables`开机启动
-
systemctl enable iptables
-
-
#启动`iptables`服务
-
systemctl start iptables
-
-
#禁用所有主机访问2181端口
-
iptables -I INPUT -p tcp --dport
2181-j DROP
-
-
#允许**172.20.192.110**主机访问2181端口(此处不同主机可以参考此条设置)
-
iptables -I INPUT -
s
172.20.
192.110 -p tcp --dport
2181 -j ACCEPT
-
-
# 保存当前处于ESTABLISHED以及RELATED阶段的TCP连接
-
iptables -I INPUT -
m
state --
state RELATED,ESTABLISHED -j ACCEPT
-
-
#保存`iptables`设置
-
service iptables save
-
-
#重启`iptables`设置
-
systemctl restart iptables
-
-
#查看`iptables`保存规则
-
cat /etc/sysconfig/iptables
-
-
#查看iptables运行状况
-
iptables -L -n -v
如果手滑,iptables错误设置了某条规则,删除语句如下所示:
-
#查看错误设置的规则行号
-
iptables -L INPUT --line-numbers
-
-
#根据行号删除错误设置的规则(假设此处删除的是第14条规则)
-
iptables -D INPUT
14
补充:
根据进程id查找程序运行地址:
-
#根据应用名查找应用进程`id`
-
ps -ef|
grep ***
-
-
#根据id查找进程信息(假设进程`id`是110)
-
cd /proc/
110
-
-
#通过以下语句,查找`cwd`对应位置,就是程序保存位置
-
ls -l
推荐iptables设置文章(很实用):
译Linux:25 个有用的 iptables 防火墙规则
PS:
如果您觉得我的文章对您有帮助,可以扫码领取下红包或扫码支持(随意多少,一分钱都是爱),谢谢!
| 支付宝红包 | 支付宝 | 微信 |
|---|---|---|
 |
 |
 |
转载于:https://www.cnblogs.com/jason1990/p/10414328.html
本周,运维告知部署的服务被扫描发现漏洞,涉及的软件分别为mysql,ZooKeeper与Elasticsearch.
因为最近任务繁重,人力资源紧张,因此无法抽出更多时间调整代码,添加权限认证.
与软件部署人员确认,上述三个软件均为内网访问,因此采用以下方式进行处理:
(1) mysql设置访问ip地址,即仅允许同一网段的若干台机器进行访问;
(2) ZooKeeper以及Elasticsearch主机添加ip访问限制仅允许同一网段的若干台机器进行访问.
mysql设置
-
-
#登陆mysql
-
mysql -u root -p
-
-
use mysql;
-
-
#获取mysql用户允许访问主机情况
-
select host,user from `user`;
-
-
#更新访问主机信息(此处假定用户为hello)
-
update user set host='172.20.192.%' where user='hello';
-
-
#更新权限
-
flush privileges;
-
-
#退出
-
exit
iptables设置
主机均为centos,此处以ZooKeeper所在主机作为示范.
-
#查看主机端口占用情况(查看可知`ZooKeeper`开放`2181`端口)
-
netstat -tnl
-
-
#查看端口连接情况
-
netstat -anp |
grep
2181
-
-
#关闭`firewalld`服务
-
systemctl stop firewalld
-
systemctl mask firewalld
-
-
#安装`iptables`
-
yum install iptables-services
-
-
#设置`iptables`开机启动
-
systemctl enable iptables
-
-
#启动`iptables`服务
-
systemctl start iptables
-
-
#禁用所有主机访问2181端口
-
iptables -I INPUT -p tcp --dport
2181-j DROP
-
-
#允许**172.20.192.110**主机访问2181端口(此处不同主机可以参考此条设置)
-
iptables -I INPUT -
s
172.20.
192.110 -p tcp --dport
2181 -j ACCEPT
-
-
# 保存当前处于ESTABLISHED以及RELATED阶段的TCP连接
-
iptables -I INPUT -
m
state --
state RELATED,ESTABLISHED -j ACCEPT
-
-
#保存`iptables`设置
-
service iptables save
-
-
#重启`iptables`设置
-
systemctl restart iptables
-
-
#查看`iptables`保存规则
-
cat /etc/sysconfig/iptables
-
-
#查看iptables运行状况
-
iptables -L -n -v
如果手滑,iptables错误设置了某条规则,删除语句如下所示:
-
#查看错误设置的规则行号
-
iptables -L INPUT --line-numbers
-
-
#根据行号删除错误设置的规则(假设此处删除的是第14条规则)
-
iptables -D INPUT
14
补充:
根据进程id查找程序运行地址:
-
#根据应用名查找应用进程`id`
-
ps -ef|
grep ***
-
-
#根据id查找进程信息(假设进程`id`是110)
-
cd /proc/
110
-
-
#通过以下语句,查找`cwd`对应位置,就是程序保存位置
-
ls -l
推荐iptables设置文章(很实用):
译Linux:25 个有用的 iptables 防火墙规则
PS:
如果您觉得我的文章对您有帮助,可以扫码领取下红包或扫码支持(随意多少,一分钱都是爱),谢谢!
| 支付宝红包 | 支付宝 | 微信 |
|---|---|---|
|
|
|
转载于:https://www.cnblogs.com/jason1990/p/10414328.html