etcd API 未授权访问漏洞，端口开放问题？

炼气期DBA · 2025 年4 月 9 日 03:44

ID Ports

192.168.1.32:9003 alertmanager 9093/9094
192.168.1.32:3000 grafana 3000
192.168.1.32:9088 prometheus 9088/12020

192.168.1.33:9000 tiflash 9000/8123/3930/20170/20292/8234

192.168.1.31:2379 pd 2379/2380
192.168.1.34:2379 pd 2379/2380
192.168.1.35:2379 pd 2379/2380

192.168.1.31:4000 tidb 4000/10080
192.168.1.34:4000 tidb 4000/10080
192.168.1.35:4000 tidb 4000/10080

192.168.1.31:20160 tikv 20160/20180
192.168.1.34:20160 tikv 20160/20180
192.168.1.35:20160 tikv 20160/20180

在31/34/35这3台服务器上开启防火墙，并把允许192.168.1.31—192.168.1.35这几台机器访问以下端口。
2379/2380
4000/10080
20160/20180

另外想问下，dumping和br备份有端口吗？我看到文档还有个8250 pump端口都开通了。

如果想从硬件防火墙上做限制策略，需要怎么跟网管说明这个活呢？谢谢。

zhaokede · 2025 年4 月 9 日 04:49

允许 192.168.1.31-192.168.1.35 访问 192.168.1.31:2379,2380,4000,10080,20160,20180
允许 192.168.1.31-192.168.1.35 访问 192.168.1.34:2379,2380,4000,10080,20160,20180
允许 192.168.1.31-192.168.1.35 访问 192.168.1.35:2379,2380,4000,10080,20160,20180
如果启用了 TiDB Binlog，还需要添加：
允许 192.168.1.31-192.168.1.35 访问 192.168.1.31:8250
允许 192.168.1.31-192.168.1.35 访问 192.168.1.34:8250
允许 192.168.1.31-192.168.1.35 访问 192.168.1.35:8250

乡在人间 · 2025 年4 月 9 日 06:28

安全策略方面，我们这边基本都是以主机IP作为白名单就行，

tidb菜鸟一只 · 2025 年4 月 9 日 06:48

如果只是 etcd API 未授权访问漏洞这一个漏洞，只要把pd上的2379端口做访问限制，限制所有tidb集群机器可以访问即可，其他端口还可以放到公共区，任意机器均可访问。

清风明月 · 2025 年4 月 9 日 06:54

把相关的地址和端口给到网络，让他们开放相关的端口。

炼气期DBA · 2025 年4 月 9 日 08:43

如果从网络防火墙做限制，2379和2380都需要做限制吧，只允许tidb集群机器可以访问2379,2380，外面机器不能访问2379和2380就可以了吧？其它的端口比如4000,20160,3000,9093等端口都不需要做任何限制了吧？

其实我想说的是，都是在内网玩的机器，何必为难内网，网络防火墙都没放行2379，理论上都不需要修改这个漏洞吧？

Kongdom · 2025 年4 月 9 日 08:54

参考这个看看，昨天刚问过。

tidb菜鸟一只 · 2025 年4 月 9 日 09:24

2380增加限制也可以，但是内网这个其实也难说，也在很多网络攻击都是社工式的攻击，会有人先混到你们的内网再攻击的。。。