cdh zookeeper未授权访问(安全漏洞)处理

最新推荐文章于 2026-05-08 11:13:21 发布
原创 最新推荐文章于 2026-05-08 11:13:21 发布 · 2.4k 阅读 · 5
标签
#安全漏洞
文章介绍了如何处理CDH ZooKeeper的安全漏洞,通过设置IP白名单来限制访问权限,包括对ZooKeeper节点的各种操作权限解释和身份认证方式,详细展示了在ZooKeeper客户端进行权限设置的步骤。

前言:

  最近公司在做安全漏洞扫描。发现cdh zookeeper存在未授权访问的问题。

 

ZooKeeper的节点有5种操作权限:

CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)

注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限

ZooKeeper的身份的认证有4种方式:

world:默认方式,相当于全世界都能访问

auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)

digest:即用户名:密码这种方式认证,这也是业务系统中最常用的

ip:使用Ip地址认证

 

hadoop集群zookeeper安全处理,采用ip白名单方式。(任意集群节点)

cd /opt/cloudera/parcels/CDH/lib/zookeeper/bin ## zk目录 cdh6.1.1

##cd /usr/lib/zookeeper/bin ## zk目录 cdh6.3.0  以各位实际目录为准
./zkCli.sh -server xxx.xxx.xxx.126:2181  ## 进入zk客户端
setAcl / ip:xxx.xxx.xxx.126:cdrwa,ip:xxx.xxx.xxx.1

最低0.47元/天 解锁文章
ZooKeeper 未授权访问漏洞处理方法
08-31
ZooKeeper 未授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
CDH6.3.2处理Zookeeper未授权访问造成的漏洞
萌兔兔MMQ!!
11-24 2630
不知道你有没有注意,zk服务端启动后,默认会启动这几个具有world和cdrwa权限的znode,“/” “/zookeeper” “/zookeeper/config"和”/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。1、digest设置Acl的时候,可以不用先添加用户,而auth设置Acl的时候,是需要提前设置用户的,否则报错。
目标Zookeeper未授权访问(漏洞验证)
LiBai'S BLOG
08-06 9445
漏洞验证????漏洞复现????漏洞描述????解决办法????验证方法 ????漏洞复现 echo envi | nc 1.1.1.1 2181 ????漏洞描述 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过
ZooKeeper 未授权访问漏洞:你做的 ACL 加固可能只是“假动作”
最新发布
全网同名,欢迎关注。
05-08 419
Super 用户是一种特殊的 digest 认证,可以无视所有 ACL 进行操作。它的设计初衷正是防止误配 ACL 把自己完全锁在外面,提供一条“超级后门”用于恢复。你在没有建立完善的全局认证机制之前就把 super 用户删掉,一旦将来某个节点 ACL 配错导致所有业务账号都无法访问,集群将陷入不可管理的状态。安全加固不允许这种“玉石俱焚”的做法。你认为的修复实际情况为测试节点加 ip ACL根路径、其他节点仍然,漏洞依然存在删除超级用户失去紧急管理通道,加固反而降低了可用性禁用部分四字命令。
ZooKeeper 未授权访问漏洞
玄道的网安博客
07-03 7616
简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。 环境搭建 wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.14/zookeeper-3.4..
ZooKeeper未授权访问漏洞总结
qq_45746681的博客
10-05 4749
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、ZooKeeper未授权访问漏洞?二、复现1.搭建环境2.检测方法POC编写 前言 总结下常见的未授权漏洞 一、ZooKeeper未授权访问漏洞? ZooKeeper是一个分布式的、开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。 它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper默认开
聊聊 Zookeeper 的 4lw 与信息安全
明哥的IT随笔
04-26 1829
最近有个客户在扫描安全漏洞时,反馈 ZOOKEEPER 存在信息泄露问题,即:ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境;
漏洞“Apache Zookeeper 授权问题漏洞(CVE-2019-0201)”详情
liangkaiping0525的博客
06-30 3012
user appuser; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid /app/nginx/logs/nginx.pid; events { worker_connections 1024; } http { include mime.types; .
zookeeper平滑升级_zookeeper从3.4.8升级到3.4.14
weixin_39685130的博客
12-19 1885
升级背景说明:最近在做系统安全扫描时,扫出来zookeeper存在安全漏洞Apache Zookeeper 缓冲区溢出漏洞(CVE-2016-5017)官方给出的升级建议:地址:https://zookeeper.apache.org/security.html#CVE-2016-5017Mitigation: It is important to use the fully featured/s...
常见 Web 中间件及其漏洞概述(二):Apache
weixin_47306547的博客
01-03 1367
Apache 简介 Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。 解析漏洞 未知扩展名解析漏洞 原理 Apache的解析漏洞依赖于一个特性: Apache默认一个文件可以有多个以点分割的后缀,当最右边的后缀无法识别(不在默认一个文件可以有多个以点分割的后缀,当最右边...
ZooKeeper信息泄露漏洞(CVE-2014-085)
热门推荐
Exploit的小站~
05-10 2万+
 研究ZooKeeper时顺便看到的,危害级别比较低,居然上了CVE,目测Apache有干爹照顾。 对于node的访问ZooKeeper提供了相应的权限控制,即使用访问控制列表ACL来进行实现。一个ACL只从属于一个特定的node,而对这个node的子节点是无效的,也就是不具有递归性。比如/app只能被10.10.10.1访问,/app/test为任何人都可以访问(world,anyon...
CDH6.3.2防止被攻击,打补丁(未授权漏洞)
黑眼圈@~@从不出水文
12-13 1434
CDH集群的HDFS增加身份验证
ZooKeeper未授权访问-解决方案
weixin_43135696的博客
03-11 3763
处理流程: #进入到zookeeper的bin目录下 cd /home/soft/zookeeper #登录zookeeper ./zkCli.sh -server IP:2181 #查看节点路径 ls / #查看当前权限 getAcl / #方法一: #创建用户,digest:即用户名:密码这种方式认证,这也是业务系统中最常用的 addauth digest user:password #追加操作权限,auth:代表已经认证通过的用户 setAcl / auth:user:password:cdr.
【HDP】zookeeper未授权漏洞修复
康师傅没有眼泪
09-27 7240
ruok命令的输出仅仅只能表明当前服务器是否在运行,准确的说是2181端口打开着,同时四字命令执行流程正常,但不能代表ZooKeeper服务器是否运行正常。wchp命令和wchc命令非常类似,也是用于输出当前服务器上管理的Watcher的详细信息,不同点在于wchp命令的输出信息以节点路径为单位进行归组。srvr命令和stat命令的功能一致,唯一的区别的是srvr不会将客户端的连接情况输出,仅仅输出服务器自身的信息。srst是一个功能性的命令,用于重置所有服务器的统计信息。
zookeeper未授权访问漏洞处理
weixin_50016127的博客
06-27 1万+
zookeeper未授权访问漏洞处理
【安全问题】ZooKeeper未授权访问-zookeeper存在未授权访问漏洞
u010637366的博客
08-21 5070
修复办法一(推荐指定IP白名单): 1. 找到目录 zkCli.sh文件目录 find / -name zkCli.sh 2. 进入目录 cd /opt/zookeeper-3.4.12/bin/ 3. 登录zk ./zkCli.sh -server zkip:zk端口 4. 查看当前权限: getAcl / 5、添加可访问IP setAcl / ip:192.168.1.xx:cdrwa,ip:192.168.1.xx:cdrwa 6、查看当前访问ip权限 未授权也可以连接,但是查看节点时会报错".
zookeeper未授权访问漏洞修复
weixin_43966996的博客
05-08 7015
zookeeper进行服务ACL限制访问
漏洞扫描,zookeeper未授权访问漏洞复现及修复
ChaoandPeng的博客
06-29 1万+
ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。0x00 ZooKeeper 安装: Zookeeper的默认开放端口是2181wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.10/zookeeper-3.4.10.tar.gztar -zxvf zookeepre-3.4.10.tar.gz cd zooke
Zookeeper未授权访问漏洞
weixin_53736204的博客
08-04 1162
Zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口是 2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:ki命令)。攻击者能够执行所有只允许由管理员运行的命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值