Influxdb安全基线
Influxdb安全基线
访问控制
1.高危-禁止使用root用户启动
描述:
使用root权限去运行网络服务是比较有风险的,应使用普通权限的用户启动influxd服务。
加固建议:
- 使用systemctl启动工具启动:
systemctl start influxd
- 创建influxdb用户并使用root切换到该用户启动服务:
useradd -s /sbin/nolog -M influxdb
sudo -u influxdb <influxd-path>/influxd -config <config_path>/influxdb.conf 2&1>/dev/null &
服务配置
2.中危-修改默认的http 8086端口
描述:
避免使用熟知的端口,降低被初级扫描的风险
加固建议
打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增绑定端口和ip的配置项为非默认端口,例如:bind-address = ":8333"
。修改完成后保存并重启influxdb服务。
3.中危-开启日志记录
描述:
开启日志记录功能,记录用户的操作。
加固建议:
打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增配置项:log-enabled = true
。修改完成后保存并重启influxdb服务。
身份鉴别
4.高危-开启http认证
描述:
influxdb默认关闭http认证,使任意用户可以通过http访问数据库,会导致未授权访问等严重安全问题,需要启用该认证。
加固建议:
打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增配置项:auth-enabled = true
。修改完成后保存并重启influxdb服务。
5.高危-Influxdb登录弱口令
描述:
若系统使用弱口令,存在极大的被恶意猜解入侵风险,需立即修复。
加固建议:
登录influxdb数据库;
根据弱密码告警信息修改具体用户的密码:set password for "用户名" = '新密码'
;其中密码要用单引号引起来。
新口令应符合复杂性要求:
- 长度8位以上
- 包含以下四类字符中的三类字符:
- 英文大写字母(A 到 Z)
- 英文小写字母(a 到 z)
- 10 个基本数字(0 到 9)
- 非字母字符(例如 !、$、#、%、@、^、&)
- 避免使用已公开的弱口令,如:abcd.1234 、admin@123等
入侵防范
6.高危-Influxdb未授权访问
描述:
hc.checklist.defense.influxdb.auth.describe
加固建议:
打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf,找到[http]模块,修改/新增配置项:
auth-enabled = true
pprof-auth-enabled=true
修改完成后保存并重启influxdb服务。
7.中危-版本存在安全漏洞
描述:
Influxdb以下版本存在漏洞,容易被入侵: Influxdb1.7.6以下的版本存在认证绕过漏洞,攻击者可以通过构造特定的jwt凭据绕过认证访问数据库。https://avd.aliyun.com/detail?id=AVD-02021-0159
加固建议:
更新服务至最新版本,完成漏洞的修复,这些漏洞基于未授权访问或者服务存在弱口令,完成访问认证加固可降低被入侵风险。
Influxdb安全基线相关推荐
- 在CentOS 7.7 x86_64上安装InfluxDB 1.8.0实录
在InfluxDB官网获取最新稳定版的下载和安装指导 wget https://dl.influxdata.com/influxdb/releases/influxdb-1.8.0.x86_64.rp ...
- InfluxDB 2.0 Alpha展开测试!将会加入查询语言Flux
InfluxData释出其开源时序数据库InfluxDB 2.0 Alpha测试版,这个版本最大的更新,便是增加了新的数据脚本和查询语言Flux,不只能提供跨平台时序数据操作,还能将TICK组件堆栈整 ...
- SQL Server 性能基线和监控
就讲讲监控那些值,基线抓的是那些值.如何做告警 环境:windows 2008r2,sql server 2008r2 sp1 性能基线: cpu: \Processor(_Total)\% Proc ...
- 一行代码,得到最强时序基线!
AutoTS 简介 时间序列问题无论是在销量预测,天气预测还是在股票预测等问题中都至关重要,而如今随着机器学习等快速发展,已经出现了非常多时间序列建模相关的工具包,今天介绍一种非常霸道的工具,融合 ...
- influxdb java spring_Spring boot使用influxDB总结
项目中需要存放大量设备日志,且需要对其进行简单的数据分析,信息提取工作. 结合众多考量因素,项目决定使用时序数据库中的领头羊InfluxDB. 引入依赖 项目中使用influxdb-java,在pom ...
- telegraf监控mysql数据库_部署Telegraf+Influxdb+Grafana 架构来监控 MySQL
前段时间小编写了一篇:使用Nginx+Telegraf+Influxb+Grafana构建高逼格Nginx集群监控系统!文章,详细了介绍了 采集器telegraf, 时序数据库influxdb , 数 ...
- 时序数据库连载系列: 时序数据库一哥InfluxDB之存储机制解析
InfluxDB 的存储机制解析 本文介绍了InfluxDB对于时序数据的存储/索引的设计.由于InfluxDB的集群版已在0.12版就不再开源,因此如无特殊说明,本文的介绍对象都是指 InfluxD ...
- 基于 Prometheus、InfluxDB 与 Grafana 打造监控平台
在本文中,我将把几个常用的监控部分给梳理一下.前面我们提到过,在性能监控图谱中,有操作系统.应用服务器.中间件.队列.缓存.数据库.网络.前端.负载均衡.Web 服务器.存储.代码等很多需要监控的点. ...
- CentOS Linux 7 安全基线设置
作为一个生信人,不管是日常的数据分析还是其他工具应用的开发,服务器的安全始终是一个无法避免的话题.尤其是当我们拿到一台新的服务器,我们需要怎样才能确保它是安全可靠,并最小限度降低它被攻击的可能性? 下 ...
最新文章
- LeetCode刷题记录6——696. Count Binary Substrings(easy)
- 响应式Spring Cloud初探
- python成员变量和全局变量_python 全局变量和局部变量详解笔记
- 浙江大学PAT上机题解析之1009. 说反话 (20)
- MTK6589下传感器框架结构和代码分析以及传感器的参数指标
- QPS、TPS、RT、并发量、 吞吐量
- jQuery 基础教程 (四)之jQuery中的DOM操作
- 组合式应用新利器?SaaS新时代事件网格如何解决集成标准化问题
- c语言中f1(a 25),C语言程序设计A 200901-201707历年考试选择题(全)doc.docx
- Linux kali 安装 qq Tim
- python无限循环怎么结束_在无限循环中停止python脚本
- Android Studio Gradle实践之多渠道自动化打包+版本号管理
- python将一个正整数分解质因数
- ws832设置虚拟服务器,华为WS832路由器设置教程 | 192路由网
- 计算机无法加载远程访问连接管理器服务,win7宽带连接提示无法加载远程访问连接管理器服务错误711怎么办...
- DIY一个简易查询系统
- 协同设计与传统设计方法的比较
- Mybatis-Plus 条件构造器Wrapper常用方法
- python最简单的语言_Python语言的简单实用小工具
- linux下阅读源代码的工具