ZStack管理节点通过漏洞扫描软件漏扫后发现Tomcat存在AJP协议漏洞,需要修复Tomcat AJP漏洞。
图1 Apache Tomcat文件漏洞
ZStack云平台3.6.0版本,单管理节点/双管理节点环境
主存储环境:ShareBlock主存储
网络环境:扁平网络
云主机操作系统:Centos7.6
ZStack管理节点服务Tomcat组件版本为8.5.45,该版本的Tomcat属于受影响的版本,修复漏洞的方法有两种:1、升级Tomcat组件到8.5.51以上版本 2、关闭Tomcat 8009端口。
ZStack云平台没有使用过8009端口,可以通过禁用Tomcat文件中的8009端口达到漏洞修复的目的,具体操作如下:
1.单管理节点场景
1.1备份数据库
zstack-ctl dump_mysql
1.2关闭管理节点服务
zstack-ctl stop
1.3修改tomcat配置文件server.xml
vim /usr/local/zstack/apache-tomcat/conf/server.xml
1.4搜索8009(这个文件中只有两个位置有8009这个数字,只需要编辑一个地方)
将这行注释,保存退出
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" maxHttpHeaderSize="65536" URIEncoding="UTF-8" useBodyEncodingForURI="UTF-8" />
注释的方法是在行首加 <!-- 行尾 加 --> 如下:
<!--<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" maxHttpHeaderSize="65536" URIEncoding="UTF-8" useBodyEncodingForURI="UTF-8" />-->
1.5启动管理节点服务
zstack-ctl start
2.双管理节点场景
2.1备份数据库,两个节点都需要备份
zstack-ctl dump_mysql
2.2.在非vip节点停止管理节点服务
zsha2 stop-node
2.3编辑tomcat配置文件server.xml
vim /usr/local/zstack/apache-tomcat/conf/server.xml
2.4搜索8009(这个文件中只有两个位置有8009这个数字,只需要编辑一个地方)
将这行注释
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" maxHttpHeaderSize="65536" URIEncoding="UTF-8" useBodyEncodingForURI="UTF-8" />
注释的方法是在行首加 <!-- 行尾 加 --> 如下:
<!--<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" maxHttpHeaderSize="65536" URIEncoding="UTF-8" useBodyEncodingForURI="UTF-8" />-->
2.5保存退出
2.6启动管理节点
zsha2 start-node
2.7到vip节点将vip切换至上面已更改过配置的节点
zsha2 demote
2.8停止管理节点服务
zsha2 stop-node
2.9编辑tomcat配置文件server.xml
vim /usr/local/zstack/apache-tomcat/conf/server.xml
搜索8009(这个文件中只有两个位置有8009这个数字,只需要编辑一个地方)
将这行注释
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" maxHttpHeaderSize="65536" URIEncoding="UTF-8" useBodyEncodingForURI="UTF-8" />
注释的方法是在行首加 <!-- 行尾 加 --> 如下:
<!--<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" maxHttpHeaderSize="65536" URIEncoding="UTF-8" useBodyEncodingForURI="UTF-8" />-->
2.11保存退出
2.12启动管理节点
zsha2 start-node
沪公网安备 31011202014879号