Flink on Yarn 任务启动后,暴露端口无授权访问漏洞,用iptables批量解决

  • 需求:hadoop集群,运行flink on yarn多个任务,被扫描出多个flink任务的未授权访问漏洞,主要是org.apache.flink.yarn.entrypoint.YarnJobClusterEntrypoint相关客户端进程

解决问题,暂用iptables 拦截访问

  • 源漏洞主机:获取漏洞端口并自动添加防火墙规则(设置仅白名单访问)
bash 复制代码
IP=$(hostname -I)
IP2=$(echo -n $IP)
ports=$(ps -ef |grep org.apache.flink.yarn.entrypoint.YarnJobClusterEntrypoint |awk '{print "ss -nltp |grep " $2}' |bash |sed 's@*:@@' |awk '{print "echo "$4 "; curl -s http://IP:"$4"/config?wt=json; echo IP"}'  |sed "s@IP@$IP2@g"  |bash |grep flink-revision -B 1 |grep -v flink-revision |grep -v '\-' |awk '{printf $1 " "}' ) # 3123 2343

#给端口添加防火墙规则,拦截非白名单访问
dodrop(){
  pp=$1
  ips=(192.168.56.12 192.168.56.13 )
    for ip in "${ips[@]}"; do
       iptables -A INPUT -p tcp --dport $pp -s $ip -j ACCEPT
       echo  iptables -A INPUT -p tcp --dport $pp -s $ip -j ACCEPT
    done
    iptables -A INPUT -p tcp --dport $pp  -j DROP
    echo  iptables -A INPUT -p tcp --dport $pp  -j DROP
}

#遍历有漏洞的端口, 给没有添加防火墙的端口补充iptables规则
for i in $(echo $ports)
do
   flag=$(iptables -nL |grep DROP |grep $i)
   #如果没有拦截则补充iptables规则
   if [  -z "$flag" ]; then 
          echo $i
          dodrop $i
   fi
done
相关推荐
楷哥爱开发2 小时前
如何使用 Claude Fable 5 进行网页抓取?2026最新实战教程
大数据·网络·人工智能
leoZ2312 小时前
Git 集成实战完全指南(二):智能分支管理
大数据·git·elasticsearch
这个DBA有点耶3 小时前
SQL调优进阶:从“优化一条SQL”到“优化一个系统”的思维升级
java·大数据·数据库·sql·程序人生·dba·改行学it
李昊哲小课5 小时前
spark4 集群安装
大数据·hadoop·zookeeper·spark
wuhanzhanhui6 小时前
重塑供应链!2026武汉数字孪生产业展览会亮相,打造工业未来新基石
大数据·人工智能
数智化管理手记7 小时前
智能财务如何减少财务加班?智能财务落地需要哪些工具支撑?
大数据·网络·数据库·数据挖掘·精益工程
A15362558 小时前
国内好用的WMS仓储管理系统有哪些?万里牛WMS深度评测
大数据·数据库·人工智能
码云数智-园园8 小时前
2026主流SaaS小程序搭建平台对比
大数据
Elastic 中国社区官方博客10 小时前
4 个英伟达人工智能任务,1 个 Elasticsearch 接口:嵌入、聊天、completion 和重排序
大数据·数据库·人工智能·elasticsearch·搜索引擎·ai
融智兴科技10 小时前
一张校园卡学生证,如何连接学习、生活与校园管理?
大数据·科技·物联网