⻛险提⽰
1. 在iptables 规则配置正确的情况下,可以规避未认证的漏洞;
2. 如变更过程中误操作限制了其他端⼝的情况下可能会造成存储异常;
影响版本
所有版本
问题描述:客⼾采⽤漏扫等扫描⼯具,扫描存储发现ETCD 未授权访问漏洞。
解决⽅式:在各个存储管理节点添加iptables规则,仅允许管理⽹段和lo地址访问etcd使⽤的2379、2380端⼝。
1、在每个存储管理节点执⾏如下命令:
iptables -I INPUT -p tcp --dport 2380 -j DROP iptables -I INPUT -p tcp --dport 2379 -j DROP iptables -I INPUT -s 10.255.0.0/24 -p tcp --dport 2379 - iptables -I INPUT -s 10.255.0.0/24 -p tcp --dport 2380 - iptables -I INPUT -i lo -p tcp --dport 2379 -j ACCEPT iptables -I INPUT -i lo -p tcp --dport 2380 -j ACCEPT
2、如上执⾏命令全部添加到/etc/rc.d/rc.local⽂件,并且添加执⾏权限确保服务器重启后仍然⽣效
标签:iptables,2380,--,tcp,漏洞,ETCD,dport,INPUT From: https://www.cnblogs.com/HByang/p/16775397.html