漏洞修復(fù)

一、HTTP漏洞修復(fù)

1.1 漏洞說明

1.2 漏洞修復(fù)
1.2.1 升級HTTPD到最新版本（2.4.53）
1.2.1.1 服務(wù)器有網(wǎng)的情況下執(zhí)行以下操作：

1. 安裝CodeIT庫
   cd /etc/yum.repos.d
   wget https://repo.codeit.guru/codeit.el7.repo
   

2. 更新httpd
   yum update httpd

3. 檢查是否更新版本
   httpd -version

4. 重啟服務(wù)
   systemctl restart httpd

1.2.1.2 服務(wù)器沒有網(wǎng)執(zhí)行以下操作

1. 下載rpm包：
   下載地址：https://repo.codeit.guru/packages/centos/7/x86_64/

2. 下載以下rpm包
   注意：版本號要與下圖一致

3. 執(zhí)行以下命令：

rpm -ivh apr-1.7.0-2.el7.x86_64.rpm --force --nodeps
rpm -ivh apr-util-1.6.1-6.el7.x86_64.rpm --force --nodeps
rpm -ivh httpd-filesystem-2.4.53-2.codeit.el7.noarch.rpm --force --nodeps
rpm -ivh httpd-tools-2.4.53-2.codeit.el7.x86_64.rpm --force --nodeps

rpm -ivh openssl-quic-libs-1.1.1n-2.codeit.el7.x86_64.rpm --force --nodeps

rpm -Uvh httpd-2.4.53-2.codeit.el7.x86_64.rpm --force --nodeps
rpm -ivh mod_http2-2.0.2-2.codeit.el7.x86_64.rpm --force --nodeps
4. 查看是否升級成功
httpd -version
5.重啟httpd服務(wù)
systemctl restart httpd

二、Zookeeper漏洞修復(fù)

2.1 漏洞說明

2.2 漏洞修復(fù)
添加防火墻端口規(guī)則，禁止端口被外部機(jī)器訪問：
查看防火墻狀態(tài)
systemctl status firewalld

啟動防火墻
systemctl start firewalld

添加規(guī)則，只允許集群內(nèi)ip訪問某個端口，示例
Zookeeper 2181
firewall-cmd --permanent --zone=public --add-port=1-2180/tcp
firewall-cmd --permanent --zone=public --add-port=2182-65535/tcp
firewall-cmd --permanent --zone=public --add-port=1-65535/udp

添加2181 端口向指定ip開放
firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“192.168.12.36” port protocol=“tcp” port=“2181” accept”
firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“192.168.12.63” port protocol=“tcp” port=“2181” accept”
firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“192.168.11.118” port protocol=“tcp” port=“2181” accept”

(放行keepalived組播地址)
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 --destination 224.0.0.18 --protocol vrrp -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 --destination 224.0.0.18 --protocol vrrp -j ACCEPT

重新加載規(guī)則
firewall-cmd --reload

查看規(guī)則
firewall-cmd --list-all

三、Elasticsearch 未授權(quán)訪問漏洞

3.1 漏洞說明

3.2 漏洞修復(fù)
3.2.1 設(shè)置x-pack證書

查看elasticsearch部署了幾個節(jié)點，如果是多個節(jié)點，需要將生成的elastic-certificates.p12 文件拷貝到其他節(jié)點的conf目錄下（如果是單節(jié)點可忽略此項）；
./bin/elasticsearch-certutil ca
./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
注：生成證書文件后檢查文件用戶權(quán)限，可手動修改

3.2.2 開啟x-pack認(rèn)證
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
將以上邊配置添加到配置文件中config/elasticsearch.yaml

3.2.3. 生成用戶及密碼

./bin/elasticsearch-setup-passwords auto(會生成隨機(jī)密碼，要做好備份)

可手動生成：./bin/elasticsearch-setup-passwords interactive

3.2.4. 修改密碼

curl -H "Content-Type:application/json" -XPOST -u elastic 'http://127.0.0.1:9200/_xpack/security/user/elastic/_password' -d '{ "password" : "123456" }'

四、MySQL安全漏洞
4.1 漏洞說明

4.2 漏洞修復(fù)
注：根據(jù)漏洞掃描說明，升級mysql版本為大版本下的最新版本。如5.6版本只能升級5.6版本，不能升級為5.7版本
示例：mysql 5.6.26升級到mysql 5.6.46
4.2.1 檢查mysql版本
mysql --version

4.2.2 下載安裝包
https://downloads.mysql.com/archives/community/

4.2.3 備份mysql數(shù)據(jù)
mysqldump -u root -p iotplatform --all-databases --skip-lock-tables > all-data.sql

4.2.4 停止mysql
mysql -u root -p iotplatform --execute=“SET GLOBAL innodb_fast_shutdown=0”
service mysql stop （集群版，ambari界面停止）

4.2.5 升級安裝包
rpm -Uvh MySQL*.rpm

4.2.6 啟動mysql
service mysql start （集群版，ambari界面啟動）

4.2.7 使用upgrade檢查新舊版本兼容性
mysql_upgrade -uroot -p iotplatform

4.2.8 檢查mysql版本
rpm -qa |grep -i mysql
mysql –version

五、JAVA JMX agent不安全的配置漏洞

5.1 漏洞說明

5.2 漏洞修復(fù)
編輯啟動腳本，刪除此配置項 -Dcom.sun.management.jmxremote.port=8118 ，并重啟服務(wù)
vim /opt/xxx/xxx/xx/xxx/bin/startup.sh

六、Docker Remote API未授權(quán)漏洞

6.1 漏洞說明

6.2 漏洞修復(fù)
修改docker配置文件/etc/docker/daemon.json

{
        "bip": "172.25.0.1/16",
        "hosts": ["tcp://0.0.0.0:2375", "unix:///var/run/docker.sock" ]
}
將IP 修改成127.0.0.1
 {
        "bip": "172.25.0.1/16",
        "hosts": ["tcp://127.0.0.1:2375", "unix:///var/run/docker.sock" ]
}

七、慢Dos攻擊
7.1 漏洞說明

7.2 漏洞修復(fù)
描述:
將修改connectionTimeout=“20000”,將20000修改成2000即可
修改前:文章來源地址http://www.zghlxwxcb.cn/news/detail-785825.html

  <Connector port="8182" protocol="HTTP/1.1"
               connectionTimeout="20000" URIEncoding="UTF-8"
               redirectPort="8463" />
  <Connector port="9029" protocol="AJP/1.3" redirectPort="8463" />
修改后:
  <Connector port="8182" protocol="HTTP/1.1"
               connectionTimeout="2000" URIEncoding="UTF-8"
   maxThreads="100"
   minSpareThreads="50"
   maxSpareThreads="100"
   minProcessors="50"
   maxProcessors="100"
   enableLookups="false"
  acceptCount="100"
               redirectPort="8463" />
  <Connector port="9029" protocol="AJP/1.3" redirectPort="8463" />

到了這里，關(guān)于漏洞修復(fù) Zookeeper、MySQL、Elasticsearch的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！