仔细查看了你上传的application.properties文件,我发现了导致你被扫描出漏洞的“致命”配置,同时也为你准备好了完整的修改方案。
你需要做两步修改:
第一步:最关键的修改(填补安全漏洞)
在你的配置文件第185行左右,有一行配置nacos.security.ignore.urls。这行配置定义了哪些路径不需要登录就能访问。
当前配置(有漏洞):
nacos.security.ignore.urls=/,/error,//*.css,//.js,/**/.html,//*.map,//.svg,/**/.png,//*.ico,/console-ui/public/,/v1/auth/,/v1/console/health/,/actuator/,/v1/console/server/**
注意到了吗?你显式地将/actuator/**加入了白名单!这意味着任何人访问监控端点都不需要输入账号密码。必须把它删掉。
修改后(安全):
nacos.security.ignore.urls=/,/error,/**/*.css,/**/*.js,/**/*.html,/**/*.map,/**/*.svg,/**/*.png,/**/*.ico,/console-ui/public/**,/v1/auth/**,/v1/console/health/**,/v1/console/server/**(删除了/actuator/**)
第二步:添加 Actuator 加固配置
在配置文件的Metrics Related Configurations区域(大约第 60 行),或者文件末尾,加入我们刚才讨论的“隐身”配置。
建议添加的内容:
#*************** Actuator Security Fix (新增安全配置) ***************# # 1. 默认关闭所有监控端点 management.endpoints.enabled-by-default=false # 2. 仅开启健康检查 (为了不影响服务存活检测) management.endpoint.health.enabled=true # 3. Web 层面只暴露 health management.endpoints.web.exposure.include=health # 4. 修改 Actuator 默认路径 (这是过扫描器的关键,将 /actuator 隐藏起来) management.endpoints.web.base-path=/managepro09876dconfigprops123werewrewrewcxvcvcvnhjgjk汇总:你应该怎么改
你可以直接复制下面的内容,替换你文件中对应部分,或者直接追加修改。
1. 找到第 185 行,替换为:
nacos.security.ignore.urls=/,/error,/**/*.css,/**/*.js,/**/*.html,/**/*.map,/**/*.svg,/**/*.png,/**/*.ico,/console-ui/public/**,/v1/auth/**,/v1/console/health/**,/v1/console/server/**2. 找到第 60 行Metrics Related Configurations附近,加入:
#*************** Metrics Related Configurations ***************# ### Metrics for prometheus #management.endpoints.web.exposure.include=prometheus # --- 开始新增 --- management.endpoints.enabled-by-default=false management.endpoint.health.enabled=true management.endpoints.web.exposure.include=health management.endpoints.web.base-path=/managepro09876dconfigprops123werewrewrewcxvcvcvnhjgjk # --- 结束新增 ---修改后的效果
- 扫描器失效:原本访问
IP:8848/nacos/actuator的扫描器会直接报 404 Not Found。 - 权限收回:即使攻击者猜到了那串乱码路径,因为你在第一步中把
/actuator/**从白名单删除了(且路径已变),Nacos 的鉴权拦截器会拦截请求,要求登录。 - 服务正常:Nacos 自身的核心功能不受影响。
修改完保存文件,重启 Nacos 服务即可生效。
是的,这个必须改!
在你的xxl-job配置文件中,第6行直接把弱点暴露给了攻击者:
management.server.base-path=/actuator这行配置不仅开启了 Actuator,还显式地告诉所有人:“我的监控地址就在默认的/actuator路径下,快来扫我!”
为了保持和你刚才 Nacos 修改方案的一致性(隐蔽+安全),建议采用相同的策略。
修改方案
请在配置文件中找到第 5-6 行(Actuator 相关配置),将其替换为以下内容:
### actuator (已修复未授权访问漏洞) # 1. 默认关闭所有端点 management.endpoints.enabled-by-default=false # 2. 仅开启 health (健康检查) management.endpoint.health.enabled=true # 3. Web 暴露只包含 health management.endpoints.web.exposure.include=health # 4. 关键:修改默认路径,让扫描器扫不到 (使用和你 Nacos 一样的随机串) management.endpoints.web.base-path=/managepro09876dconfigprops123werewrewrewcxvcvcvnhjgjk # 原有的配置建议注释掉或删除 # management.server.base-path=/actuator management.health.mail.enabled=false为什么这样做更安全?
- 移除了靶子:你原本的配置
management.server.base-path=/actuator就像在门口挂了个牌子说“钥匙在脚垫下”。注释掉它,攻击者就无法通过默认字典扫到。 - 隐藏了入口:新的
base-path把路径改成了那串很长的乱码,除了你没人猜得到。 - 最小化权限:即使有人运气好猜到了路径,
exposure.include=health确保了他们只能看到“服务是活着的”,而看不到数据库密码、环境变量等敏感信息。
修改完保存后,记得重启 XXL-JOB Admin 服务!
