Hadoophbase监控页面未授权访问漏洞处理方案验证过程实现
Hadoop&hbase监控页面未授权访问漏洞处理方案验证
Hadoop:监控页面授权登录配置步骤:
1 页面弹出框授权
1.1页面弹出框授权配置
1.上传附件的jar包hadoop-http-auth-e3base.jar到$HADOOP_HOME/share/hadoop/common目录下
并分发到另外两台主机
2.修改$HADOOP_HOME/etc/hadoop/core-site.xml增加相关配置
<!–Hadoop 弹出框方式增加用户密码校验–>
<property>
<name>hadoop.http.filter.initializers</name>
<value>org.apache.hadoop.security.AuthenticationFilterInitializer</value>
</property>
<property>
<name>hadoop.http.authentication.type</name>
<value>org.apache.hadoop.security.authentication.server.SitechAuthenticationHandler</value>
</property>
<property>
<name>hadoop.http.authentication.token.validity</name>
<value>3600</value>
</property>
<property>
<name>hadoop.http.authentication.sitech.staticuser.user
<value>e3base:Abcd1234
</property>
<property>
<name>hadoop.http.authentication.cookie.domain</name>
<value></value>
</property>
<property>
<name>hadoop.http.authentication.simple.anonymous.allowed</name>
<value>false</value>
</property>
其中
hadoop.http.authentication.sitech.staticuser.user的值为 :<用户名>:<密码>
注:由于用户名和密码是用冒号作为分割,所以设置的用户名中不能有冒号,设置的密码中也不能包含有冒号,否则无法识别。且登陆的用户,只能设置一个
3.将core-site.xml分发到hadoop集群的其他主机上
4.重启hadoop
1.2 页面弹出框授权验证
修改完后,进入监控页面需要输入对应的用户名和密码,正确后才会登陆到监控页面
适用于:namenode、datanode、resourcemanager、nodemanager、jobhistory
1.3 注意事项
退出登陆:需要清空浏览器的登陆状态和cookie
2 页面simple类型授权
haodoop的监控页面授权种类,可作为拓展了解。http授权有三种,simple、kerberos、自定义
2.1 http simple授权配置
1.在core-site.xml中增加如下配置
<!–hadoop http simple方式 增加用户密码校验–>
<property>
<name>hadoop.http.filter.initializers</name>
<value>org.apache.hadoop.security.AuthenticationFilterInitializer</value>
</property>
<property>
<name>hadoop.http.authentication.type</name>
<value>simple</value>
</property>
<property>
<name>hadoop.http.authentication.token.validity</name>
<value>3600</value>
</property>
<property>
<name>hadoop.http.authentication.signature.secret.file</name>
<value>$HADOOP_HOME/etc/hadoop/hadoop-http-auth-signature-secret</value>
</property>
<property>
<name>hadoop.http.authentication.cookie.domain</name>
<value></value>
</property>
<property>
<name>hadoop.http.authentication.simple.anonymous.allowed</name>
<value>false</value>
</property>
其中hadoop.http.authentication.type有三种:simple|kerberos|自定义类
其中hadoop.http.authentication.token.validity为登陆有效时长,单位为秒
其中hadoop.http.authentication.signature.secret.file这个是要设定secret file存放的绝对路径,
需要创建该文件,且保证hdfs和yarn的进程在启动时可以读到该文件(其中/e3base/testupgrade/cdh550/hadoop/为$HADOOP_HOME)
2.创建上文中对应的hadoop-http-auth-signature-secret文件,并且在其中添加一行如:e3base
3.scp core-site.xml 和 hadoop-http-auth-signature-secret到其余机器
4.重启hadoop
2.2 http simple授权校验
重启后可以发现hadoop的namenode(已经修改端口为8270)无法直接登陆
但是使用http://192.168.228.147:12003/?user.name=e3base即可登陆(会自动跳转)
同样的 datanode、resourcemanager、nodemanager也是url后需要增加 ?user.name参数
注:
1.如果要注销登陆,则需要清空浏览器的缓存和cookie
2.jobhistory的19888端口可以使用此授权
2.3 注意事项
1.在hadoop-http-auth-signature-secret中只指定了e3base用户,但是如果user.name参数的值是其他值的话也可以成功登陆。故使用自定义授权,即本文开始介绍的用户名密码登陆的授权验证。
Hbase: 监控页面授权登录配置
1.页面弹出框授权
1.1 配置步骤
1.上传jar包hbase-http-auth-e3base.jar到hbase集群主机上的HBASEHOME/lib/目录下并分发到集群其它主机2.修改配置文件HBASE_HOME/lib/目录下并分发到集群其它主机 2.修改配置文件HBASEHOME/lib/目录下并分发到集群其它主机2.修改配置文件HBASE_HOME/conf/hbase-site.xml增加
<!–HBASE 弹出框方式增加用户密码校验–>
<property>
<name>hbase.http.sitech.staticuser.user</name>
<value>e3base:Abcd1234</value>
</property>
<property>
<name>hbase.http.filter.initializers</name>
<value>org.apache.hadoop.hbase.http.lib.StaticUserWebFilter,org.apache.hadoop.hbase.http.lib.SitechStaticUserWebFilter</value>
</property>
注:由于用户名和密码是用冒号作为分割,所以设置的用户名中不能有冒号,设置的密码中也不能包含有冒号,否则无法识别。且登陆的用户,只能设置一个
3.分发配置文件
4.重启hbase
1.2 鉴权验证
进入到hbase
URL:
http://192.168.228.147:14002/master-status
输入完用户名/密码后(目前配置的是e3base/Abcd1234)
即可正常登陆
同样的,针对于regionserver也同样有效。
1.3注意事项
1.退出登陆:需要清空浏览器的登陆状态和cookie
2.Hbase涉及的监控端口及配置位置
在hbase-site.xml配置有 14001—14004端口
Hadoophbase监控页面未授权访问漏洞处理方案验证过程实现相关推荐
- 二十八种未授权访问漏洞合集(暂时最全)
目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 ...
- 常用的30+种未授权访问漏洞汇总
未授权访问漏洞汇总预览 1 .FTP 未授权访问(21) 2 .LDAP 未授权访问(389) 3 .Rsync 未授权访问(873) 4 .ZooKeeper 未授权访问(2181) 5 .Dock ...
- Druid未授权访问 漏洞复现
为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓ 01 漏洞描述 02 利用方式 03 修复方案 01 漏洞描述 Druid是阿里巴巴数据库事业部出品,为监控而生的数据库连接池.Druid提供的监控 ...
- 常见未授权访问漏洞详解
参考文章1:二十八种未授权访问漏洞合集(CSDN) 参考文章2:28种未授权访问漏洞(知乎) 参考文章3:未授权访问漏洞总结(freebuf) 参考文章4:常见未授权访问漏洞总结(先知社区) 文章目录 ...
- Docker未授权访问漏洞
文章目录 一.漏洞介绍 1.1 漏洞成因 1.2 漏洞概况 二.攻击过程 2.1 信息收集 2.2 漏洞探测 2.3 漏洞利用 三.防御方法 一.漏洞介绍 1.1 漏洞成因 又叫Docker Re ...
- JBoss未授权访问漏洞Getshell过程复现
文章目录 前言 漏洞复现 漏洞描述 靶场搭建 漏洞利用 防御手段 Jexboss脚本 前言 在 2021 年第五届强网杯全国网络安全挑战赛的 EasyWeb 赛题中遇到了 JBoss 未授权访问漏洞 ...
- 漏洞检测与防御:Redis未授权访问漏洞复现
漏洞检测与防御:Redis未授权访问漏洞复现 1. 未授权访问漏洞 未授权访问漏洞可以理解为安全配置.权限认证.授权页面存在缺陷,导致其他用户可以直接访问,从而引发权限可被操作,数据库.网站目录等敏感 ...
- 【应急类漏洞】————1、未授权访问漏洞总结
前言 2018年5月,比特币勒索病毒 WannaCry 席卷全球,国内众多机构部门计算机系统瘫痪.根据之前应急响应的案例分析,以及一些安全报告统计,目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植 ...
- 常用的端口及未授权访问漏洞
一.介绍 用于快速定位端口,查找开放端口脆弱点,有利于外网渗透 1.1 具体端口 端口号 使用 弱点 21 telnet 22 SSH 28退格漏洞.OpenSSL漏洞 25 SMTP协议 53 ...
最新文章
- 重装电脑后遇到的问题,其他设备,未知设备
- Linux内核设计与实现笔记(一) 虚拟文件系统、块I/O层
- sqlserver 获取当前年_CVE-2020-0618: 微软 SQL Server 远程代码执行漏洞通告
- 关于Visual Studio 2010与64位系统的问题
- 面试官:说出几个你熟悉的 Zookeeper 命令
- C#基础之 集合-队列
- QUIC实战(三) letsencrypt证书申请和自动续期
- python全栈开发学习 01
- C++:构造函数和析构函数能否为虚函数
- mysql int(3)_MySQL中int(11)与int(3)的区别_MySQL
- 公众号跳转小程序首次没有数据_小程序如何从“0”开始运营,变成获客神器...
- 测试:第二章 测试过程
- 使用APICloud开发物流仓储app项目实践
- 【史上最全 | 编程入门指南无标题】
- MDCC为移动开发者服务:一看、一聊、一聚
- HTML、JS、CSS 实现果冻按钮效果 代码解读
- 长期有效的Google Adsense英文高单价关键词
- 几何光学学习笔记(23)- 5.6 远心光路
- linux 硬盘满了如何处理
- 2022CCPC广州 CM