记一次防火墙配置

Posted 2023-03-08 Newtaylor

因第三方扫描漏洞，发现服务器有zookeeper未授权访问高危安全漏洞，我们采取的措施是给zookeeper访问加权限，在目标主机做以下配置：

一、登录zookeeper

./bin/zookeeper-shell.sh 127.0.0.1:2181

二、查看当前权限
 

getAcl /

三、设置访问权限（多个用逗号隔开）
 

setAcl / ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa

经过以上配置后扫描漏洞依然存在，于是在/zookeeper /zookeeper/quota /config 节点均配置

setAcl /zookeeper ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa

setAcl /zookeeper/quota ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa

setAcl /config ip:127.0.0.1:cdrwa,ip:授权访问的ip地址:cdrwa

如果需要回退，请执行

--回退
 

setAcl / world:anyone:cdrwa

setAcl /zookeeper world:anyone:cdrwa

setAcl /config world:anyone:cdrwa

setAcl /zookeeper/quota world:anyone:cdrwa

并重启了zookeeper和kafka，重启顺序是关闭kafka-->关闭zookeeper-->启动zookeeper-->启动kafka，注意每次关闭都jps看看是否真正关闭了。

./bin/kafka-server-stop.sh

./bin/zookeeper-server-stop.sh

nohup ./bin/zookeeper-server-start.sh config/zookeeper.properties >/dev/null 2>&1 &

nohup ./bin/kafka-server-start.sh config/server.properties >/dev/null 2>&1 &

为了以防万一，将2181端口移除，仅允许访问的ip访问2181端口，具体操作如下：

四、设置防火墙

firewall-cmd --zone=public --remove-port=2181/tcp --permanent

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="授权访问的ip" port protocol="tcp" port="2181" accept'

firewall-cmd --reload

firewall-cmd --list-all

如果需要回退，请执行

--回退
 

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="授权访问的ip" port protocol="tcp" port="2181" accept'

firewall-cmd --reload

附：防火墙常见命令

1.查看状态

systemctl status firewalld

2.启动防火墙

systemctl start firewalld

3.停止防火墙

systemctl stop firewalld

4.立即生效

firewall-cmd --reload

5.开启tcp端口 

firewall-cmd --zone=public --add-port=2181/tcp --permanent

6.移除tcp端口 

firewall-cmd --zone=public --remove-port=2181/tcp --permanent

7.开启udp端口 

firewall-cmd --zone=public --add-port=6030-6039/udp --permanent

8.查看开启的端口 

firewall-cmd --list-all

如果用到tdnegine，注意tcp和udp端口都要开启

最后就是等待第三方的再次扫描了