扫描系统漏洞修复

ID	Creation Date	Assignee	Status
OMPUB-1404	2024-08-12T08:50:56.000+0800	王成成	已解决

中心部署TSG24.02版本，扫描漏洞参见福建doufenghu commented on 2024-08-12T10:35:19.008+0800:

[~zhangwei] Nacos/Spring Boot Actuator ， [~luqiuwen] Consul 关注下。 OLAP 涉及修改：

wangchengcheng commented on 2024-08-16T15:54:52.327+0800:

据悉，中心在部署TSG24.02版本时，将OLAP服务器的防火墙白名单IP配置为10.0.0.0/8，导致范围内的所有IP（10.0.0.0至10.255.255.255）均可访问OLAP服务器，造成端口泄露。处置方案一：

修改OLAP防火墙规则，仅允许TSG相关服务器访问OLAP服务，具体操作如下： ** 将每台OLAP服务器的/etc/firewalld/zones/public.xml文件中IP配置由10.0.0.0/8修改为TSG服务器的IP地址，参考: *** !image-2024-08-16-15-53-31-943.png|thumbnail! ** 在每台OLAP服务器上执行”firewall-cmd --reload“命令

处置方案二：

使用Iptables将以下端口屏蔽，仅允许相关服务进行访问 ** VNC相关端口：5900、5901 ** Consul相关端口：8500 ** Actuator相关端口：8185、9093 ** zookeeper相关端口：2181
部署Galaxy-Navigation，对以下Web Ui进行加密访问： ** Druid界面相关端口：8081、8088、8089 ** Yarn界面相关端口：8080 ** Hbase界面相关端口：60010 ** Nacos界面相关端口：8847、8848、8849

liuyang commented on 2024-08-29T15:51:17.462+0800:

现场按照【处置方案一】操作后，现场扫描有如下漏洞 !screenshot-1.png|thumbnail!

wangchengcheng commented on 2024-08-29T16:08:00.789+0800:

据了解，现场在按照【处置方案一】操作时，将功能端服务器所在的IP段配置进规则中，存在安全风险。目前已将IP段更改为具体IP，正在等待第二次扫描。

wangchengcheng commented on 2024-09-26T10:43:57.259+0800:

现场按照【处置方案一】操作后，系统漏洞扫描已顺利通过。

Attachments

61415/image-2024-08-16-15-53-31-943.png

62022/screenshot-1.png

60938/扫描漏洞1.jpg

60939/扫描漏洞2.jpg

60940/扫描漏洞3.jpg