ETCD 未授权访问漏洞-添加iptables规则修复方法

⻛险提⽰

1. 在iptables 规则配置正确的情况下，可以规避未认证的漏洞；

2. 如变更过程中误操作限制了其他端⼝的情况下可能会造成存储异常；

影响版本

所有版本

问题描述：客⼾采⽤漏扫等扫描⼯具，扫描存储发现ETCD 未授权访问漏洞。

解决⽅式：在各个存储管理节点添加iptables规则，仅允许管理⽹段和lo地址访问etcd使⽤的2379、2380端⼝。

1、在每个存储管理节点执⾏如下命令：

iptables -I INPUT -p tcp --dport 2380 -j DROP  

iptables -I INPUT -p tcp --dport 2379 -j DROP  

iptables -I INPUT -s 10.255.0.0/24 -p tcp --dport 2379 -j ACCEPT  

iptables -I INPUT -s 10.255.0.0/24 -p tcp --dport 2380 -j ACCEPT  

iptables -I INPUT -i lo -p tcp --dport 2379 -j ACCEPT  

iptables -I INPUT -i lo -p tcp --dport 2380 -j ACCEPT 

 

2、如上执⾏命令全部添加到/etc/rc.d/rc.local⽂件，并且添加执⾏权限确保服务器重启后仍然⽣效