目录
前言
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。
zookeeper 是指安装部署之后默认情况下不需要任何身份验证,从而导致 zookeeper 被远程利用,导致大量服务级别的信息泄露。
默认使用端口:2181、2182。
探测服务开放
如使用nmap探测某个目标地址是否运行Zookeeper服务,探测2181端口开放。
批量探测仅需修改一下对应的目标地址即可。
获取信息
conf命令
输出相关服务配置的详细信息,端口、数据路径、日志路径、session 超时时间,最大连接数等。
cons命令
列出所有连接到当前服务器的客户端/会话的详细信息。
dump命令
输出未处理的会话和临时节点,leader 节点有效。
非 leader 节点看不到什么相关信息。
envi命令
输出服务器的详细信息。
连接测试
安装工具
如在kali下,可以用如下命令安装zookeeper工具,之后即可使用客户端连接工具zkCli.sh。
连接目标
使用-server参数指定目标即可连接。
... 已连接
获取系统相关信息
修复方案
1、设置防火墙策略限制 IP 访问【建议采取此种方案】
2、不要将 zookeeper 暴露在外网
3、设置用户认证和 ACL
参考
zookeeper 未授权访问
http://vic.pub/zookeeper-未授权访问/
总结
以上所述是小编给大家介绍的Zookeeper未授权访问测试问题,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对服务器之家网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!
原文链接:https://www.cnblogs.com/Hi-blog/p/Zookeeper-UnAuthorization-Access.html