TiDB丨Etcd API 未授权访问漏洞的修复

TiDB神州数码云基地：Etcd API 未授权访问漏洞的修复

本文讨论了在TiDB中发现的Etcd API未授权访问漏洞，并提供了几种修复方案。Etcd是一个基于HTTP协议的键/值对存储系统，用于服务发现和配置共享。但由于未配置认证，存在安全漏洞。

集群环境

漏洞影响的集群由8个物理节点组成，运行TiDB版本v4.0.12。

漏洞整改建议

提供了两种修复方案：第一种是配置身份验证以阻止未授权用户访问，但此方法对集群有风险；第二种是通过操作系统的iptables限制IP访问，这是一个影响较小的方案。

方案实施

实施方案二，通过在TiDB集群中设置PD主机的iptables白名单来拒绝外部访问。具体步骤包括检查端口情况、确认PD leader节点、配置iptables规则、启动iptables防火墙、检查防火墙策略和集群状态、测试集群功能，以及设置防火墙开机启动。

可能存在的风险

在切换PD leader时可能导致短暂的事务阻塞，建议在停止业务后进行操作。

总结

在修复Etcd漏洞时，需要考虑每种方法对集群的影响。在开启防火墙之前，应确认所有端口和配置文件以防止节点间通信受阻。最后，确保防火墙能够随机启动。

以上是关于Etcd API未授权访问漏洞的修复方法，希望对遇到类似问题的人有所帮助。