描述:
系统默认允许匿名用户访问,大大增加了系统信息泄露和被攻击的风险。为提高系统安全性,应配置禁止匿名方式访问。
加固建议:
找到配置文件
hadoop.http.authentication.simple.anonymous.allowed false
配置完成后保存并重启服务。其中
描述:
通过访问 DateNode 的 WebUI 管理界面,可以查看系统运行的关键数据信息,还能下载任意文件,需要修改默认端口,从而限制访问。
加固建议:
- 找到配置文件
/etc/hadoop/hdfs-site.xml,增加或修改以下配置项,示例:
dfs.datanode.address 9755 dfs.datanode.http.address 9753 dfs.datanode.https.address 9754
配置完成后保存并重启服务。其中
- 使用防火墙或者iptables等对访问源ip进行控制,避免将服务端口开放到公网。
- 开启kerberos认证,参考:http://hadoop.apache.org/docs/r2.7.3/hadoop-auth/Configuration.html
描述:
Hadoop Yarn 默认对外开放了 RPC 服务,攻击者可在未经过身份验证的情况下通过该漏洞在受影响主机执行任意命令,控制服务器。
加固建议
- 根据官方文档开启和配置Kerberos认证,相关配置如下:在core-site.xml配置文件中配置:
hadoop.security.authentication kerberos false hadoop.rpc.protection authentication false
- 设置 Hadoop RPC服务所在端口仅对可信地址开放。
描述:
Hdfs用户启用了该组件就可以执行任意命令,存在严重的被攻击风险,需要禁用该组件。
加固建议:
找到配置文件
hadoop.security.group.mapping org.apache.hadoop.security.JnibasedUnixGroupsMappingWithFallback
配置完成后保存并重启服务。其中
描述:
Hadoop是一款分布式系统基础架构。默认配置下存在未授权漏洞,攻击者可以在未授权的情况下远程执行代码。需立即修复加固。
加固建议:
禁止匿名访问,在配置文件
hadoop.http.authentication.simple.anonymous.allowed false
配置完成后重启。其中
描述:
通过访问 NameNode 的 WebUI 管理界面,可以查看系统运行的关键数据信息,还能下载任意文件,需要修改默认端口,从而限制访问。
加固建议:
- 找到配置文件
/etc/hadoop/hdfs-site.xml,增加或修改以下配置项,示例:
dfs.namenode.http-address 9759 dfs.namenode.https-address 9760
配置完成后保存并重启服务。其中
- 使用防火墙或者iptables等对访问源ip进行控制,避免将服务端口开放到公网。
- 开启kerberos认证,参考:http://hadoop.apache.org/docs/r2.7.3/hadoop-auth/Configuration.html
描述:
Hadoop Yarn ResourceManager默认开放,可以获取系统任意信息,存在未授权访问的风险,需要采取修改默认端口等方法限制访问。
加固建议:
- 找到配置文件
/etc/hadoop/yarn-site.xml,增加或修改以下配置项,示例:
yarn.resourcemanager.webapp.address 8177 yarn.resourcemanager.webapp.https.address 8179
配置完成后保存并重启服务。其中
- 使用防火墙或者iptables等对访问源ip进行控制,避免将服务端口开放到公网。
- 开启kerberos认证,参考:http://hadoop.apache.org/docs/r2.7.3/hadoop-auth/Configuration.html
描述:
通过访问 Secondary NameNode 的 WebUI 管理界面,可以查看系统运行的关键数据信息,还能下载任意文件,需要修改默认端口,从而限制访问。
加固建议:
- 找到配置文件
/etc/hadoop/hdfs-site.xml,增加或修改以下配置项,示例:
dfs.namenode.secondary.http-address 9757 dfs.namenode.secondary.https-address 9758
配置完成后保存并重启服务。其中
- 使用防火墙或者iptables等对访问源ip进行控制,避免将服务端口开放到公网。
- 开启kerberos认证,参考:http://hadoop.apache.org/docs/r2.7.3/hadoop-auth/Configuration.html
描述:
WebHDFS提供REST API来给用户提供数据,如果 DataNode 的默认端口开放,攻击者可以通过 HDSF 提供的 restful API 对 HDFS 存储的数据进行 *** 作,具有很高的风险。
加固建议:
- 找到配置文件
/etc/hadoop/hdfs-site.xml,增加或修改以下配置项,示例:
dfs.datanode.address 9755 dfs.datanode.http.address 9753 dfs.datanode.https.address 9754
配置完成后保存并重启服务。其中
- 使用防火墙或者iptables等对访问源ip进行控制,避免将服务端口开放到公网。
- 开启kerberos认证,参考:http://hadoop.apache.org/docs/r2.7.3/hadoop-auth/Configuration.html
描述:
JobHistory的WebUI默认对外开放,存在泄露服务器历史信息的风险,需要采取修改默认端口等的措施进行加固。
加固建议:
- 找到配置文件
/etc/hadoop/mapred-site.xml,修改以下配置项,示例:
mapreduce.jobhistory.address 12202 mapreduce.jobhistory.webapp.address 18999/value>
配置完成后保存并重启服务。其中
- 使用防火墙或者iptables等对访问源ip进行控制,避免将服务端口开放到公网。
- 开启kerberos认证,参考:http://hadoop.apache.org/docs/r2.7.3/hadoop-auth/Configuration.html
描述:
Mapreduce的WebUI默认对外开放,会造成重要和敏感信息泄露,需要执行修改默认端口等 *** 作限制访问。
加固建议:
- 找到配置文件
/etc/hadoop/mapred-site.xml,增加或修改以下配置项,示例:
mapreduce.jobtracker.http.address 50441 mapreduce.tasktracker.http.address 50661
配置完成后保存并重启服务。其中
- 使用防火墙或者iptables等对访问源ip进行控制,避免将服务端口开放到公网。
- 开启kerberos认证,参考:http://hadoop.apache.org/docs/r2.7.3/hadoop-auth/Configuration.html
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)