Influxdb安全基线

访问控制

1.高危-禁止使用root用户启动

描述:

使用root权限去运行网络服务是比较有风险的，应使用普通权限的用户启动influxd服务。

加固建议:

使用systemctl启动工具启动： systemctl start influxd
创建influxdb用户并使用root切换到该用户启动服务：

useradd -s /sbin/nolog -M influxdb
sudo -u influxdb <influxd-path>/influxd -config <config_path>/influxdb.conf 2&1>/dev/null &

服务配置

2.中危-修改默认的http 8086端口

描述:

避免使用熟知的端口,降低被初级扫描的风险

加固建议

打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf，找到[http]模块，修改/新增绑定端口和ip的配置项为非默认端口，例如：bind-address = ":8333"。修改完成后保存并重启influxdb服务。

3.中危-开启日志记录

描述:

开启日志记录功能，记录用户的操作。

加固建议:

打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf，找到[http]模块，修改/新增配置项：log-enabled = true。修改完成后保存并重启influxdb服务。

身份鉴别

4.高危-开启http认证

描述:

influxdb默认关闭http认证，使任意用户可以通过http访问数据库，会导致未授权访问等严重安全问题，需要启用该认证。

加固建议:

打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf，找到[http]模块，修改/新增配置项：auth-enabled = true。修改完成后保存并重启influxdb服务。

5.高危-Influxdb登录弱口令

描述:
若系统使用弱口令，存在极大的被恶意猜解入侵风险，需立即修复。

加固建议:
登录influxdb数据库；
根据弱密码告警信息修改具体用户的密码：set password for "用户名" = '新密码' ；其中密码要用单引号引起来。
新口令应符合复杂性要求：

长度8位以上
包含以下四类字符中的三类字符:

英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%、@、^、&)

避免使用已公开的弱口令，如：abcd.1234 、admin@123等

入侵防范

6.高危-Influxdb未授权访问

描述:
hc.checklist.defense.influxdb.auth.describe

加固建议:
打开并编辑influxdb的启动配置文件<config_path>/influxdb.conf，找到[http]模块，修改/新增配置项：

auth-enabled = true
pprof-auth-enabled=true

修改完成后保存并重启influxdb服务。

7.中危-版本存在安全漏洞

描述:

Influxdb以下版本存在漏洞，容易被入侵： Influxdb1.7.6以下的版本存在认证绕过漏洞，攻击者可以通过构造特定的jwt凭据绕过认证访问数据库。https://avd.aliyun.com/detail?id=AVD-02021-0159

加固建议:

更新服务至最新版本，完成漏洞的修复，这些漏洞基于未授权访问或者服务存在弱口令，完成访问认证加固可降低被入侵风险。