# 扫描系统漏洞修复

| ID | Creation Date | Assignee | Status |
|----|----------------|----------|--------|
| OMPUB-1404 | 2024-08-12T08:50:56.000+0800 | 王成成 | 已解决 |


---

中心部署TSG24.02版本，扫描漏洞参见福建**doufenghu** commented on *2024-08-12T10:35:19.008+0800*:

[~zhangwei]   Nacos/Spring Boot Actuator ， [~luqiuwen]  Consul 关注下。 OLAP 涉及修改：
 * 各个开源组件WEB UI 增加登录权限
 * 升级Nacos 至稳定版2.2.3 



---

**wangchengcheng** commented on *2024-08-16T15:54:52.327+0800*:

据悉，中心在部署TSG24.02版本时，将OLAP服务器的防火墙白名单IP配置为10.0.0.0/8，导致范围内的所有IP（10.0.0.0至10.255.255.255）均可访问OLAP服务器，造成端口泄露。处置方案一：
 * 修改OLAP防火墙规则，仅允许TSG相关服务器访问OLAP服务，具体操作如下：
 ** 将每台OLAP服务器的/etc/firewalld/zones/public.xml文件中IP配置由10.0.0.0/8修改为TSG服务器的IP地址，参考:
 *** !image-2024-08-16-15-53-31-943.png|thumbnail!
 ** 在每台OLAP服务器上执行”firewall-cmd --reload“命令

处置方案二：
 * 使用Iptables将以下端口屏蔽，仅允许相关服务进行访问
 ** VNC相关端口：5900、5901
 ** Consul相关端口：8500
 ** Actuator相关端口：8185、9093
 **  zookeeper相关端口：2181
 * 部署Galaxy-Navigation，对以下Web Ui进行加密访问：
 ** Druid界面相关端口：8081、8088、8089
 ** Yarn界面相关端口：8080
 ** Hbase界面相关端口：60010
 ** Nacos界面相关端口：8847、8848、8849



---

**liuyang** commented on *2024-08-29T15:51:17.462+0800*:

现场按照【处置方案一】操作后，现场扫描有如下漏洞
 !screenshot-1.png|thumbnail! 



---

**wangchengcheng** commented on *2024-08-29T16:08:00.789+0800*:

据了解，现场在按照【处置方案一】操作时，将功能端服务器所在的IP段配置进规则中，存在安全风险。目前已将IP段更改为具体IP，正在等待第二次扫描。



---

**wangchengcheng** commented on *2024-09-26T10:43:57.259+0800*:

现场按照【处置方案一】操作后，系统漏洞扫描已顺利通过。



---



## Attachments

**61415/image-2024-08-16-15-53-31-943.png**

---

**62022/screenshot-1.png**

---

**60938/扫描漏洞1.jpg**

---

**60939/扫描漏洞2.jpg**

---

**60940/扫描漏洞3.jpg**

---