【漏洞防范与应对:从发现到修复的全攻略】Prometheus Pushgateway推送网关 存在未授权访问漏洞 ,处理过程详解!!!

已于 2024-05-11 15:52:01 修改
阅读量3.9k 收藏 11
点赞数 9
分类专栏: 【漏洞防范与应对:从发现到修复的全攻略】 文章标签: prometheus 网络 运维 linux 安全
于 2024-05-11 15:38:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46001933/article/details/138711840
版权

在这里插入图片描述

🌟 欢迎来到【漏洞防范与应对:从发现到修复的全攻略】专栏!在这里,我将深入分享我的日常运维经验,特别是漏洞处理的过程与方法,同时记录每一次成功修复漏洞的历程。🛡️

🔍 运维,就像是站在网络安全的最前线。每一个新发现的漏洞,都是对我们专业能力的挑战。在本专栏中,我将引导你深入这个“战场”,共同体验从漏洞发现到彻底修复的完整旅程。

📝 我不仅会深入剖析技术细节,还会分享那些来自实战的宝贵经验。希望我的分享能让你更深入地理解漏洞处理的实际操作,并从中获得启发,提升你的运维技能。

💪 朋友们,让我们携手踏上这段探索之旅,共同捍卫网络的安全与稳定。期待在这个专栏中与你一同成长,共同见证每一次漏洞修复的成功!

文章目录

一、漏洞概述📖

漏洞名称
  Prometheus Pushgateway推送网关 存在未授权访问漏洞 【原理扫描】
CVE编号
  -
漏洞级别
  中危
漏洞描述/危害
  Prometheus Pushgateway(推送网关)是 Prometheus 监控系统的一个组件,主要用于解决一些短寿命任务(如批处理作业或临时服务)产生的指标数据无法通过 Prometheus 的传统拉取模型获取的问题。 Prometheus Pushgateway存在未授权访问漏洞,攻击者可通过该漏洞获取敏感信息,造成敏感信息泄露。
解决方案 ⚠️
  建议根据官方配置身份验证: https://github.com/prometheus/pushgateway。

二、漏洞修复方法🛠️

2.1 修复步骤 🔧

  • 详细列出每一步的修复操作流程 📋

1、安装密码生成工具
yum -y install httpd-tools

2、生成密码
htpasswd -nBC 12 ‘’ | tr -d ‘:\n’
在这里插入图片描述
3、创建配置文件config.yml

  • 注:/usr/local/pushgateway是我服务部署的路径

vi /usr/local/pushgateway/config.yml

basic_auth_users:
  admin: 第2步生成的token

4、配置pushgateway.service

  • 新增–web.config.file=/usr/local/pushgateway/config.yml
[Unit]
Description=Pushgateway

[Service]
Type=simple
User=root
Group=root
ExecStart=/usr/local/pushgateway/pushgateway \
--web.listen-address=:9080 \
--web.config.file=/usr/local/pushgateway/config.yml \
--persistence.file="/usr/local/pushgateway/metrics.db" \
--log.level=info
ExecReload=/bin/kill -HUP
Restart=on-failure

[Install]
WantedBy=multi-user.target

5、重启pushgateway.service

systemctl daemon-reload

systemctl restart pushgateway.service

2.2 验证修复效果 ✅

  • 描述验证方法和期望的结果 🔍

  请求pushgateway服务出现Unauthorized证明加密成功
在这里插入图片描述

  • 确保漏洞已被成功修复 💪

三、经验与反思💡

  在添加新策略后,务必立即进行验证,确保策略已正确实施,并检查数据是否按预期正常采集,以保障系统的正常运行。

3.1 加密后Prometheus获取pushgateway数据也要添加账密才能获取数据

1、添加账密配置

  • password:是生成密码是输入的明文密码
    在这里插入图片描述
    2、重启prometheus.service
systemctl restart prometheus.service
【云原生网关】Apache ShenYu 使用详解
congge
06-07 4310
apache shenyu使用总结
未经授权访问漏洞综述编程
2301_79331387的博客
08-16 361
网络安全领域中,未经授权访问漏洞是指攻击者未经授权地获取系统或应用程序的敏感信息或执行未经授权的操作。会话管理问题:应用程序在处理用户会话时存在问题,例如会话标识符容易被猜测或劫持,或者会话状态未正确管理,从而允许攻击者访问其他用户的数据或执行恶意操作。使用安全的会话管理:确保会话标识符是随机生成的、不可预测的,并将其存储在安全的方式下。定期更新会话密钥并管理会话状态,避免会话劫持风险。实施严格的访问控制:确保应用程序实施合适的认证、授权和会话管理机制,仅允许经过身份验证和授权的用户访问敏感资源。
Prometheus监控系部署配置过程
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-24 2万+
前言 Prometheus是由SoundCloud开发的开源监控报警系统和时序列数据库(TSDB),基于Go语言开发,是Google BorgMon监控系统的开源版本。Prometheus在2016年加入了云原生计算基金会,成为继Kubernetes之后的第二个项目。 Prometheus通过多种数学算法能实现强大的监控需求,原生支持K8S服务发现,能监控容器的动态变化。并且结合Grafana能绘出漂亮图形,然后使用alertmanager或Grafana实现报警。它其他监控相比有以下主要优势: · 1
TiDB之Prometheus未授权访问漏洞修复
weixin_39863120的博客
07-01 2706
输入密码后,你应能看到 Prometheus 的指标输出。输入你的密码(例如 “test”)后,脚本会输出类似于。路径指向正确的 web.yml 文件位置。如果验证成功,会输出。
PROMETHEUS安全漏洞分析
yua7190的博客
09-06 9005
Prometheus是一套开源的监控、告警、时间序列数据库的组合工具。Kubernetes由Google内部Borg系统演变而来相似,Prometheus由Google内部的Borgmon[6]监控系统演变而来,最初在2012年由前Google工程师Matt T. Proud于SoundCloud[5]进行研发使用并在短时间内迅速受到业界广泛认可,后于2015年初在GitHub上开源,目前已有42.2K的Star数和7.1的Fork数。
Prometheus 问题
u013939918的博客
07-21 6357
问题一 :context deadline exceeded Get http://192.168.90.177:9100/metrics: context deadline exceeded 解决办法:有可能端口未开放,指定其他端口 [root@localhost ~]#./node_exporter--web.listen-address=":8080" & 问题二:read: connection reset by peer Get http://192.168.110.85:...
常见未授权访问漏洞
weixin_60838266的博客
07-17 4883
由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可以执行任意方法,从而导致远程命令执行漏洞。受影响的版本包括 5.0 和 5.1 版本(即默认情况下)。
未授权访问漏洞
weixin_56378389的博客
04-11 1209
Redis;Docker
Prometheus Pushgateway 详解(Prometheus Pushgate Detailed Explanation)
Linux运维老纪的博客
09-29 1124
PushgatewayPrometheus整体监控方案的功能组件之一,并做为一个独立的工具存在。它主要用于Prometheus无法直接拿到监控指标的场景,如监控源位于防火墙之后,Prometheus无法穿透防火墙;目标服务没有可抓取监控数据的端点等多种情况。在类似场景中,可通过部署Pushgateway的方式解决问题。当部署该组件后,监控源通过主动发送监控数据到Pushgateway,再由Prometheus定时获取信息,实现资源的状态监控。,本章详细介绍Prometheus Pushgateway
Prometheus聚合推送网关详解使用教程
资源摘要信息:"Prometheus聚合推送网关概述及使用方法" 知识点1: Prometheus简介 Prometheus是一套开源的系统监控和警报工具包,它通过HTTP协议周期性地抓取被监控端的各种指标,通过指标名称和一组键值对的形式...
Prometheus+SpringBoot应用监控全过程详解
Cr1556648487的博客
09-14 291
既然是服务端自己主动向目标拉取数据,那么服务端运行在本地(我们自己的电脑上)也是可以的,只要能访问目标端点即可,同时就像心跳检测一样可以判断目标是否下线,还有,服务端自己主动拉取,那么想拉取谁的数据就拉取谁的数据,因而可以随意切换拉取目标。回想一下Skywalking是怎么做的,SkyWalking有客户端和服务端,需要在目标服务上安装探针(agent),探针采集目标服务的指标数据,上报给服务端OAP服务,这个对目标有一定的侵入性,不过可以接受。具有相同目的的实例集合,称为作业。
未授权访问漏洞总结
hackerie的博客
12-28 1万+
目前主要存在未授权访问漏洞的有:NFS服务,Samba服务,LDAP,Rsync,FTP,GitLab,Jenkins,MongoDB,Redis,ZooKeeper, ElasticSearch,Memcache,CouchDB,Docker,Solr,Hadoop,Dubbo等, 本文主要介绍一些目前比较常用的一些服务的未授权访问,欢迎大家补充! 参考:https://www.secpu
部署Alertmanager发送告警
2402_83805984的博客
08-21 1371
Prometheus 对指标的收集、存储告警能力分属于 Prometheus Server 和 AlertManager 两个独立的组件,前者仅负责定义告警规则生成告警通知, 具体的告警操作则由后者完成。Alertmanager 负责处理由 Prometheus Server 发来的告警通知,Alertmanager对告警通知进行分组、去重后,根据路由规则将其路由到不同的receiver,如Email、钉钉或企业微信等。
未授权访问漏洞原理以及修复方法
it知识分享 free for nothing..
12-20 7184
未授权访问漏洞 原理以及修复方法
Redis 未授权访问缺陷
我心如水
06-19 1万+
昨天接到一个开发朋友的求助说是有一个异常的进程占用了将近百分之800(8核)cpu使用率,于是登录服务器查看,确实有一个异常进程,通过ps查到了该进程调用的脚本,继而继续追踪后门定时任务,确实都存在,通过后门定时任务找到了攻击的最终源头,起因便是redis未授权漏洞造成,下面公布一下该攻击脚本: export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/
4.1_未授权漏洞
最新发布
m0_73983897的博客
11-21 2237
本文的主要内容涉及一些常见的未授权漏洞及其利用方式; 未授权漏洞:Redis + Rsync + Springboot + Swagger-UI + JBOSS + Jenkins + Hadoop + Memcached + Elasticsearch + Kibana + Docker + Kubernetes + ActiveMQ + RabbitMQ + FTP + VNC + Dubbo + Atlassian + Jupyter + Mongodb + Nacos ;
二十三:Altassian Crowd未授权访问漏洞
starhei.zxy的博客
08-06 628
Atlassian Crowd和Atlassian Crowd Data Center都是澳大利亚Atlassian公司的产品Atlassian Crowd是一套基于Web的单点登录系统。攻击者利用该漏洞可在未授权访问的情况下对Atlassian Crowd和Crowd DataCenter安装任意的恶意插件,执行任意代码/命令,从而获得服务器权限。步骤一:准备一台Ubuntu虚拟机并执行以下命令下载搭建 Atlassian-crowd-3.4.3.#下载crowd3.4.3的版本,进行测试。
常用的30+种未授权访问漏洞汇总
weixin_52501704的博客
08-11 9490
未授权访问漏洞汇总预览 1 、FTP 未授权访问(21) 2 、LDAP 未授权访问(389) 3 、Rsync 未授权访问(873) 4 、ZooKeeper 未授权访问(2181) 5 、Docker 未授权访问(2375) 6 、Docker Registry未授权(5000) 7 、Kibana 未授权访问(5601) 8 、VNC 未授权访问(5900、5901) 9 、CouchDB 未授权访问(5984) 15 10 、Apache Spark 未授权访问(6066、8.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

喜提yBei冰美式

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值