尊敬的UCloud用户:
目前全球有大批开放在公网的Elasticsearch服务器正在遭受多个黑客组织的攻击,被攻破的数据库内容会被加密或删除,受害者必须支付赎金才能找回自己的数据,甚至支付赎金也无法恢复数据。
请您及时检查自身使用的Elasticsearch服务器是否受到影响。
检查方法
检查是否可以通过外网访问Elasticsearch服务器
解决方案
1)重新配置环境,使Elasticsearch只可在公司内网环境中访问:
修改elasticsearch.yml配置文件,将network.host或者network.bind_host修改为内网可访问的ip;
例如:
network.bind_host: 127.0.0.1 #设置绑定的ip地址,默认为0.0.0.0; network.publish_host: 127.0.0.1 #设置其它节点和该节点交互的ip地址,如果不设置它会自动判断。
network.host: 127.0.0.1
#同时设置bind_host和publish_host两个参数。
2)如果需要通过外网环境来访问Elasticsearch集群,需要通过防火墙、虚拟专用网(VPN)、反向代理或其他技术,限制从外网来访问集群的行为。
例如:
#限制可访问的ip和端口:
iptables -I INPUT -p tcp –dport 9200 -j DROP(默认端口为9200)
#限制访问Elasticsearch端口的ip:
sudo iptables -I INPUT -s 127.0.0.1 -p tcp –dport 9200 -j ACCEPT
参考链接
Elasticsearch安全配置参考:
*本平台所发布文章信息,版权归
UCloud所有,如需转载请注明出处!
云安全团队
