Etcd API 未授权访问漏洞修复

随缘天空 · 2025 年3 月 9 日 03:13

【TiDB 使用环境】生产环境
【TiDB 版本】V7.1.1
【操作系统】centos7
【遇到的问题：问题现象及影响】关于官方的如下漏洞修复方案，想问下有哪些注意事项及影响，是否会造成集群不可用？有没有实操过的？Etcd API 未授权访问漏洞修复 - TiDB 社区技术月刊 | TiDB Books

乡在人间 · 2025 年3 月 9 日 03:46

方案二：访问控制策略略, 限制IP访问
开启操作系统iptabes，配置白名单，内部节点可访问pd节点。
这个方案影响最小，梳理清楚IP清单列表，设置好白名单即可。

随缘天空 · 2025 年3 月 9 日 03:58

这一步如何理解，是在中控机、pd机器还是集群所有机器上都执行？如果配置了负载均衡的情况下，又该如何设置？

WalterWj · 2025 年3 月 9 日 04:20

你没有外网地址应该还好吧？
有外网 ip 的话做下防火墙，2379 端口别对外开放就行了。

Billmay表妹 · 2025 年3 月 9 日 04:27

加固方案：开启 TLS 或者禁止 etcd 相关端口公网访问

两个解：

1、开启 TLS ，未授权去直接访问 ETCD 端口是不会获取到任何数据的，可彻底解决，也是咱们产品支持的

2、做 ACL 访问控制，只对特定的 IP 放开访问，也可以避免该端口的未授权访问

随缘天空 · 2025 年3 月 9 日 11:25

不太明白第六部的"入以下规则"在哪些机器上执行？中控机，pd组件机器还是集群上所有机器？

随缘天空 · 2025 年3 月 9 日 11:27

具体不太清楚，网络安全团队说需要设置下未授权访问策略

有猫万事足 · 2025 年3 月 9 日 14:21

你看这个iptables 规则写的是

input xxxx dport 2379

意思就是入栈流量，访问目标端口是2379.
这只有可能是在pd上设置的。

其他机器怎么会有到目标端口2379入栈流量呢？

你甚至可以变通一下，把-s ip后面给个掩码，子网段都可以访问2379，少配置几条算了。
反正就是安全扫描不能访问pd的2379就行了。
精准丢弃安全扫描的ip到pd的数据包也是可以的。

当然这个方法其实糊弄的成分居多，如果认真搞的话，还是弄一下TLS。

沧海一声笑 · 2025 年3 月 9 日 14:40

找公司的安全员处理，可以从为Etcd服务器和客户端生成证书和密钥以及etcd --config-file=/path/to/etcd.conf.yml等命令入手

清风明月 · 2025 年3 月 10 日 02:03

内网可以关闭服务器内在的防火墙，启用物理防火墙更好。

随缘天空 · 2025 年3 月 10 日 10:03

安全管理员让自己处理

随缘天空 · 2025 年3 月 10 日 10:04

如果pd所在机器没有外网访问权限这种安全问题就不存在了？

随缘天空 · 2025 年3 月 10 日 10:05

嗯，还有个疑问。如果一条条配置了访问策略，后期扩容的话是不是每次都要设置下？

清风明月 · 2025 年3 月 10 日 10:18

最好在同一个网络环境里，可以上外网，通过物理防火墙进行防护。

有猫万事足 · 2025 年3 月 10 日 13:21

对，这就是我不建议按ip设置的原因，加个掩码放一个子网段都能访问会更方便一些。

随缘天空 · 2025 年3 月 10 日 13:29

没搞过，不太懂

随缘天空 · 2025 年3 月 10 日 13:30

嗯，官方啥时候能把该问题在安装时自动解决就好了

清风明月 · 2025 年3 月 11 日 03:25

同一个网络环境下，一般不会造成集群不可用的

清风明月 · 2025 年3 月 12 日 02:46

看下日志吧。

TiDBer_6ebuRevh · 2025 年3 月 20 日 05:46

你centos7 iptables能用吗？我没有找到这个文件