93 lines
2.4 KiB
Markdown
93 lines
2.4 KiB
Markdown
# 扫描系统漏洞修复
|
||
|
||
| ID | Creation Date | Assignee | Status |
|
||
|----|----------------|----------|--------|
|
||
| OMPUB-1404 | 2024-08-12T08:50:56.000+0800 | 王成成 | 已解决 |
|
||
|
||
|
||
---
|
||
|
||
中心部署TSG24.02版本,扫描漏洞参见福建**doufenghu** commented on *2024-08-12T10:35:19.008+0800*:
|
||
|
||
[~zhangwei] Nacos/Spring Boot Actuator , [~luqiuwen] Consul 关注下。 OLAP 涉及修改:
|
||
* 各个开源组件WEB UI 增加登录权限
|
||
* 升级Nacos 至稳定版2.2.3
|
||
|
||
|
||
|
||
---
|
||
|
||
**wangchengcheng** commented on *2024-08-16T15:54:52.327+0800*:
|
||
|
||
据悉,中心在部署TSG24.02版本时,将OLAP服务器的防火墙白名单IP配置为10.0.0.0/8,导致范围内的所有IP(10.0.0.0至10.255.255.255)均可访问OLAP服务器,造成端口泄露。处置方案一:
|
||
* 修改OLAP防火墙规则,仅允许TSG相关服务器访问OLAP服务,具体操作如下:
|
||
** 将每台OLAP服务器的/etc/firewalld/zones/public.xml文件中IP配置由10.0.0.0/8修改为TSG服务器的IP地址,参考:
|
||
*** !image-2024-08-16-15-53-31-943.png|thumbnail!
|
||
** 在每台OLAP服务器上执行”firewall-cmd --reload“命令
|
||
|
||
处置方案二:
|
||
* 使用Iptables将以下端口屏蔽,仅允许相关服务进行访问
|
||
** VNC相关端口:5900、5901
|
||
** Consul相关端口:8500
|
||
** Actuator相关端口:8185、9093
|
||
** zookeeper相关端口:2181
|
||
* 部署Galaxy-Navigation,对以下Web Ui进行加密访问:
|
||
** Druid界面相关端口:8081、8088、8089
|
||
** Yarn界面相关端口:8080
|
||
** Hbase界面相关端口:60010
|
||
** Nacos界面相关端口:8847、8848、8849
|
||
|
||
|
||
|
||
---
|
||
|
||
**liuyang** commented on *2024-08-29T15:51:17.462+0800*:
|
||
|
||
现场按照【处置方案一】操作后,现场扫描有如下漏洞
|
||
!screenshot-1.png|thumbnail!
|
||
|
||
|
||
|
||
---
|
||
|
||
**wangchengcheng** commented on *2024-08-29T16:08:00.789+0800*:
|
||
|
||
据了解,现场在按照【处置方案一】操作时,将功能端服务器所在的IP段配置进规则中,存在安全风险。目前已将IP段更改为具体IP,正在等待第二次扫描。
|
||
|
||
|
||
|
||
---
|
||
|
||
**wangchengcheng** commented on *2024-09-26T10:43:57.259+0800*:
|
||
|
||
现场按照【处置方案一】操作后,系统漏洞扫描已顺利通过。
|
||
|
||
|
||
|
||
---
|
||
|
||
|
||
|
||
## Attachments
|
||
|
||
**61415/image-2024-08-16-15-53-31-943.png**
|
||
|
||
---
|
||
|
||
**62022/screenshot-1.png**
|
||
|
||
---
|
||
|
||
**60938/扫描漏洞1.jpg**
|
||
|
||
---
|
||
|
||
**60939/扫描漏洞2.jpg**
|
||
|
||
---
|
||
|
||
**60940/扫描漏洞3.jpg**
|
||
|
||
---
|
||
|