etcd非授权访问漏洞修复原创
金蝶云社区-lrc
lrc
2人赞赏了该文章 1,521次浏览 未经作者许可,禁止转载编辑于2024年06月11日 15:46:51

早期的k8s版本(1.13-1.15)安装时,未配置etcd的身份验证,会导致安全软件报“etcd非授权访问漏洞”。

修复方法如下:

配置iptables规则:

1、禁止集群master以外的IP访问etcd所在服务器的2379端口

2、允许127.0.0.1访问本机的2379端口

例如:

 iptables -A INPUT -p tcp --dport 2379 -m iprange ! --src-range 172.20.187.26-172.20.187.105  -j DROP
 iptables -I INPUT -s 127.0.0.1 -p tcp --dport 2379 -j ACCEPT

可以将iptables配置写入启动文件,防止重启后规则丢失:

图片.png

写入文件后,重启系统,查询iptables规则可以看到:

图片.png

图标赞 2
2人点赞
还没有人点赞,快来当第一个点赞的人吧!
图标打赏
0人打赏
还没有人打赏,快来当第一个打赏的人吧!