教程

iManager安全漏洞解决方案

本篇罗列了一些iManager for Kubernetes常见的安全漏洞，以及解决方案。如遇见相同问题，请参照下文解决：

1. 针对NFS的漏洞（CVE-1999-0554）：目标主机showmount -e信息泄露该如何处理？

   答：可以通过Linux的hosts.allow和hosts.deny配合使用，限制可以获取NFS输出列表的IP和用户，从而规避该漏洞。一个IP请求连入，linux的检查策略是先看/etc/hosts.allow中是否允许，如果允许直接放行；如果没有，则再看/etc/hosts.deny中是否禁止，如果禁止那么就禁止连入。

   两个配置文件的关系为：/etc/hosts.allow 的设定优先于/etc/hosts.deny。具体配置步骤如下：

   （1）修改hosts.allow配置文件：

   vim /etc/hosts.allow
   mountd:192.168.13.1   #根据实际需要放行的ip进行设置，多个ip用逗号分割
   #rpcbind: 192.168.13.:allow 整个网段放行
   rpcbind:192.168.13.1:allow

   （2）修改hosts.deny配置文件：

   mountd:ALL  #禁止所有的ip访问nfs服务
   rpcbind:ALL:deny

   （3）修改后无需重启机器即可生效。

2. 11i版本之前，文件上传几乎无限制，对文件系统的安全留下了些许的安全隐患；在11i版本中，文件管理默认提供了对部分脚本文件上传的限制。如果仍不满足客户的上传安全策略，应该如何处理？

   答：用户可根据自己的需要增加对上传文件的类型限制，修改file-manager的文件编排，在对应环境变量中增加文件类型：

   10.2.1及后续版本配置方法

   （1）在iManager服务列表中找到file-manager服务，点击编辑，在编排中找到环境变量UNSUPPORTED_EXTENTIONS，在value中追加需要进行限制的文件类型的后缀名称，以’,‘隔开：

   （2）修改后，点击更新，服务重启后即可生效

   10.2.0及之前版本配置方法

   访问 http:// <ip> :31234，前往Kubernetes的dashboard页面进行操作：

   （1）命名空间选择icloud-native-*，根据实际的云套件的id进行选择；

   （2）在部署中找到file-manager的Deployments，点击编辑，在编排中找到环境变量UNSUPPORTED_EXTENTIONS，在value中追加需要进行限制的文件类型的后缀名称，以’,‘隔开；

   （3）修改后，点击更新，服务重启后即可生效。