我要评论
一、漏洞概述📖
漏洞名称
prometheus pushgateway推送网关 存在未授权访问漏洞 【原理扫描】
cve编号
-
漏洞级别
中危
漏洞描述/危害
prometheus pushgateway(推送网关)是 prometheus 监控系统的一个组件,主要用于解决一些短寿命任务(如批处理作业或临时服务)产生的指标数据无法通过 prometheus 的传统拉取模型获取的问题。 prometheus pushgateway存在未授权访问漏洞,攻击者可通过该漏洞获取敏感信息,造成敏感信息泄露。
解决方案 ⚠️
建议根据官方配置身份验证: https://github.com/prometheus/pushgateway。
二、漏洞修复方法🛠️
2.1 修复步骤 🔧
- 详细列出每一步的修复操作流程 📋
1、安装密码生成工具
yum -y install httpd-tools
2、生成密码
htpasswd -nbc 12 ‘’ | tr -d ‘:\n’
3、创建配置文件config.yml
- 注:/usr/local/pushgateway是我服务部署的路径
vi /usr/local/pushgateway/config.yml
basic_auth_users:
admin: 第2步生成的token
4、配置pushgateway.service
- 新增–web.config.file=/usr/local/pushgateway/config.yml
[unit]
description=pushgateway
[service]
type=simple
user=root
group=root
execstart=/usr/local/pushgateway/pushgateway \
--web.listen-address=:9080 \
--web.config.file=/usr/local/pushgateway/config.yml \
--persistence.file="/usr/local/pushgateway/metrics.db" \
--log.level=info
execreload=/bin/kill -hup
restart=on-failure
[install]
wantedby=multi-user.target
5、重启pushgateway.service
systemctl daemon-reload
systemctl restart pushgateway.service
2.2 验证修复效果 ✅
- 描述验证方法和期望的结果 🔍
请求pushgateway服务出现unauthorized证明加密成功
- 确保漏洞已被成功修复 💪
三、经验与反思💡
在添加新策略后,务必立即进行验证,确保策略已正确实施,并检查数据是否按预期正常采集,以保障系统的正常运行。
3.1 加密后prometheus获取pushgateway数据也要添加账密才能获取数据
1、添加账密配置
- password:是生成密码是输入的明文密码
2、重启prometheus.service
systemctl restart prometheus.service
发表评论