一、目的
由于实际项目是政府部门的内网环境,发现Hadoop存在未授权访问漏洞,就要解决,甲方至上
二、问题分析
关于漏洞原理什么的,参考一篇博客,里面挺详细的
博客链接
博客截图
三、解决方法
(一)博客里的解决方法
(二)文心一言的解决方法
四、实践的解决方法——设置“安全组”访问控制策略
参考了一篇博客,基本就是按照这篇博客解决问题的
博客链接
博客截图
(一)启动防火墙
[root@hurys23 unauthorized-yarn]# systemctl start firewalld
(二)查看防火墙状态
[root@hurys23 unauthorized-yarn]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: active (running) since 一 2024-06-24 17:04:34 CST; 2s ago
Docs: man:firewalld(1)
Main PID: 7952 (firewalld)
Tasks: 2
Memory: 22.1M
CGroup: /system.slice/firewalld.service
└─7952 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid
(三)ip白名单方式:只允许指定的IP访问指定的端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.9.123" port protocol="tcp" port="8088" accept"
(四)设置完规则后执行
1 查看防火墙规则,查看设置是否已添加
firewall-cmd --list-all
2 如已添加则执行
firewall-cmd --reload
3 使得更改生效,如若没生效重启防火墙
systemctl restart firewalld.service
(五)查看验证
1 指定电脑IP访问8088端口
指定电脑IP可以访问
2 其他电脑访问8088端口
其他电脑不能访问8088端口
(六)其他注意点
1、防火墙要开着,不然无法阻止其他电脑访问8088端口
2、如果开防火墙,那最好添加其他端口号白名单,否则其他端口号无法访问
firewall-cmd --permanent --add-port=9870/tcp
挺好的,又解决了一个问题,宾果!!!