consul配置ACL安全认证

文章目录

前言
一、漏洞详情
二、漏洞处理
- 1.ACL相关介绍
- 2.开启ACL
- 3.创建令牌
- 4.修改acl文件
- 5.修改单节点consul启动配置文件
- 6.重启consul
三、漏洞处理结果验证

前言

因为现阶段属于护网期,因此公司对服务器、业务的安全都很关注,只要再次期间被漏扫出来的漏洞，都需要及时响应处理,恰好昨天下午我负责维护的一个项目被漏扫出来了Consul未授权访问漏洞【原理扫描】、HashiCorp Consul 安全漏洞(CVE-2021-41803)这两个漏洞，经过查询漏洞编号及名称，并验证该项目上的consul，才发现是因为该consul未配置任何安全认证,即当在浏览器访问consul的web界面时会直接暴露出已注册的services、nodes等相关信息，容易导致信息泄露。因此在确定了漏洞的详情后就着手准备开始处理漏洞。

因为该项目使用consul做为prometheus的服务发现与注册,且注册的监控指标只有200多个，因此使用的是单节点consul,下方的漏洞处理也是基于单节点consul进行处理

一、漏洞详情

漏洞名称	Consul未授权访问漏洞【原理扫描】
详细描述	Consul是HashiCorp公司推出的一款开源工具，用于实现分布式系统的服务发现与配置。与其他分布式服务注册与发现的方案相比，Consul提供的方案更为“一站式”。Consul内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案，不再需要依赖其他工具（例如ZooKeeper等），使用方式也相对简单。Consul默认配置下缺少访问控制，导致攻击者可以获取敏感信息
解决办法	请增加Consul的授权管理控制

漏洞名称

Consul未授权访问漏洞【原理扫描】

详细描述

Consul是HashiCorp公司推出的一款开源工具，用于实现分布式系统的服务发现与配置。与其他分布式服务注册与发现的方案相比，Consul提供的方案更为“一站式”。Consul内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案，不再需要依赖其他工具（例如ZooKeeper等），使用方式也相对简单。Consul默认配置下缺少访问控制，导致攻击者可以获取敏感信息

解决办法

请增加Consul的授权管理控制

漏洞名称	HashiCorp Consul 安全漏洞(CVE-2021-41803)
详细描述	HashiCorp Consul是美国HashiCorp公司的一套分布式、高可用数据中心感知解决方案。该产品用于跨动态分布式基础架构连接和配置应用程序。HashiCorp Consul 1.8.1、1.11.81.12.4 和 1.13.1版本存在安全漏洞，该漏洞源于在插入和使用自动配置 RPC 的 JWT 声明断言之前没有正确验证节点或段名称。
解决方法	厂商补丁:目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://discuss.hashicorp.com/t/hcsec-2022-19-consul-auto-config-jwt-authorization-missing-input-validation/44627

二、漏洞处理

1.ACL相关介绍

Consul使用 Access Control Lists（ACL-访问控制列表）来保护对UI、API、CLI、服务通信和代理通信的访问；ACL的核心是将规则分组为策略，然后将一个或多个策略与令牌相关联。Consul使用token的形式进行安全控制访问，这里的token就是随机的字符串，有了token就有对应的操作权限啦；
就好比之前说到WebAPI接口加访问控制一样，通过一个授权token就可以访问相关的接口资源。配置ACL的前提是所有节点都需要将ACL启用，然后还要一个bootstrap token，因为针对子权限(策略)生成token的时候需要用到，
就好比MySQL中的root用户一样，只有有了root权限才能给其他用户分配更多的权限。
接下就以UI的访问和Services的控制进行ACL配置演示，其他基本上都一样，重点就是规划好策略规则。

2.开启ACL

启用ACL系统分为两步，开启ACL和创建令牌（Token）。

首先在各节点启动时将ACL启用，在配置文件夹目录下(这里目录名是consul.d)增加acl.hcl文件，配置如下
[root@prometheus consul.d]# pwd
/export/server/monitor/consul/consul.d
[root@prometheus consul.d]# vim acl.hcl
acl = {enabled = true                      #开启acldefault_policy = "deny"             #默认策略.deny标识默认拒绝所有操作,allow标识默认允许所有操作。enable_token_persistence = true     #持久化到磁盘，重启时重新加载。
}

3.创建令牌

创建初始令牌—— 内置策略（全局管理）,相当于管理员令牌，可以授予一部份管理员全局访问权限

[root@prometheus consul.d]# ../bin/consul acl bootstrap
AccessorID:       9k8rt356-de9e-1268-123b-3dbensiu912
SecretID:         kjdn2n-be23-fea7-1733-dn2jf92s21ns0   #生成了一个Token,后续登录就需要使用这个ID来登录
Description:      Bootstrap Token (Global Management)
Local:            false
Create Time:      2024-09-10 14:36:28.7500702 +0800 CST
Policies:00000000-0000-0000-0000-000000000001 - global-management  #使用的全局策略，权限很大，类似于MySQL的root

4.修改acl文件

将生成的SecretID添加到acl文件中

[root@prometheus consul.d]# vim acl.hcl
acl = {enabled = truedefault_policy = "deny"enable_token_persistence = truetokens {agent= "7953f9e7-5fb6-6b22-9068-cbcac37fec10"}
}

5.修改单节点consul启动配置文件

添加-config-dir参数

./consul agent -server -bootstrap-expect 1 -config-dir /export/server/monitor/consul/consul.d/ -data-dir /export/server/monitor/consul/data  -node 127.0.0.1 -bind=127.0.0.1 -client=0.0.0.0 -datacenter prod -ui  -&

6.重启consul

[root@prometheus consul.d]# ../bin/restart.sh

三、漏洞处理结果验证

配置acl认证后
在这里插入图片描述

至此,consul未授权漏洞修复完成,同时也对consul配置acl认证有了大体的认知,虽然本次是以单节点的consul作为示例,acl认证部分描述的也不是很全面,后续针对consul acl认证再次整理一篇相关内容

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/bicheng/53770.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！