Security问题总结资源-CSDN文库

需积分: 5 194 浏览量 2023-08-07 16:19:18 上传评论收藏 18.78MB DOC 举报

【Security问题总结】在IT行业中，安全性是至关重要的，尤其是对于网络服务和应用程序。这篇文档主要聚焦于一些常见的安全问题，特别是与Kerberos、Guardian、CAS等身份验证和授权系统相关的挑战。以下是这些问题的详细说明： 1. **Kerberos相关问题**： - **时间同步问题**：当集群时间与KDC（Key Distribution Center）时间不同步时，可能导致认证失败。确保所有系统的时间与NTP服务器同步以避免此类问题。 - **Kadmin接口初始化失败**：这可能是由于Kerberos配置文件（如`/etc/krb5.conf`）中的kadmin服务器设置问题。如果kadmin服务出现问题，尝试重启并调整服务器顺序，确保它们指向同一个节点。 - **Keytab权限与有效性**：如果遇到“Checksum failed”错误，检查`hbase.keytab`的权限是否正确赋予了hbase用户，并通过`kinit`命令验证keytab的有效性。如果keytab失效或不匹配，可能需要重新生成或更新。 - **HA环境下的OpenLDAP同步**：在启用Guardian高可用性的情况下，两个OpenLDAP服务器必须保持数据同步，否则可能导致keytab无法使用。 2. **Kafka与GSSException**： - **Defective token detected**：这通常表示客户端连接配置错误，可能需要确保Kafka客户端配置为使用Kerberos进行安全连接。 3. **GSSException: Specified version of key is not available**： - 当keytab中的principal KVNO（Key Version Number）发生变化，通常是由于密码更改导致的。确保在生成keytab时使用适当的选项（如MIT Kerberos的`-norandkey`）来防止这种情况。 4. **DIGEST-MD5认证失败**： - 在Hadoop环境中，如果看到“Auth failed for ... (DIGEST-MD5: IO error acquiring password)”这样的警告，可能是因为客户端到服务器的通信问题，或者服务端认证配置错误。检查网络连接和Hadoop安全配置。除了Kerberos问题，还有其他安全组件需要注意，例如： - **Guardian Specified**：Guardian可能涉及到的身份验证和授权策略，包括OAuth2集成，用于实现更高级别的用户身份验证和权限管理。 - **ApacheDS**：这是一个开源目录服务器，常用于存储和管理用户身份信息，与Kerberos和其他认证系统配合使用。 - **CAS（Central Authentication Service）**：一个开放源码的单点登录（SSO）框架，可与多种服务集成以提供统一的用户认证。解决这些问题需要对Kerberos、身份验证协议、网络配置和系统管理有深入理解。在排查时，使用调试日志（如`KRB5_TRACE`环境变量）可以帮助定位问题。同时，定期审计和更新安全策略以应对新的威胁和漏洞至关重要。

资源推荐

资源详情

资源评论

Security FAQ

�

� Kerberos相关问题

� Guardian Specified

� Manager与Kerberos整合的相关问题

� TOS/TDC/TDH

� CAS

� ApacheDS

� Guardian Federation & OAuth2

� 其他

� References

Kerberos相关问题

1. guardian升级成kadmin -p admin

Authenticating as principal admin with password.

Password for admin@TDH:

kadmin: GSS-API (or kerberos) error while initializing kadmin interface

可能原因：1. 此集群时间与kdc时间不同步

也可以使用 export KRB5_TRACE=/dev/stdout

kadmin -p admin 进行debug的错误判断

还有一次发现debug日志里面的信息都非常正常，但是就是无法访问，检查了

/etc/krb5.conf中最后一个kadmin serv吧er发现什么日志都没有，感觉处于僵死状态

。重启kadmin server之后就好了，推荐把/etc/krb5.conf中的 kadmin server的顺序颠

倒一下，因为kadmin这个程序是没有HA，所以总是先去连接最后一个kadmin

server。最好kadmin server和kdc server都访问同一个节点的。

2. java.io.IOException: Login failure for hbase/node4@TDH from keytab

/etc/hyperbase1/hbase.keytab

...

javax.security.auth.login.LoginException: Checksum failed

...

KrbException: Checksum failed

...

java.security.GeneralSecurityException: Checksum failedch

(1) 检查 /etc/hyperbase1/hbase.keytab的权限，看下是否hbase用户可读

(2) 可能原因keytab失效了，使用 kinit hbase/node4@TDH -kt keytab

/etc/hyperbase1/hbase.keytab 实验下，可以尝试使用 manager上/var/lib/transwarp-

manager/master/content/keytab/ 下面的对应节点的 keytab 拷贝过去重试下

klist -ket /etc/hypbase1/hbase.keytab查看下，查看下keytab是否则正常

(3) 如果还是不行，并且开启了Guardian的HA，那么需要考虑下两个openldap服务

器是否是同步的状态，不同步会导致生成的ketyab无法使用

3. kafka: GSSException: Defective token detected (Mechanism level: GSSHeader did not

find the right tag)

最后发现是kafka client的连接问题，应该是没有使用kerberos连接？（not sure）

4. Caused by GSSException: Failure unspecified at GSS-API level (Mechanism level:

Specified version of key is not available (44))

一般是keytab里面的principal的KVNO即key的version改变了，发生的原因是kerberos

用户的密码改变，改变的原因一是手动修改了密码，或者在生成keytab的时候没有

使用-norandkey参数（for MIT Kerberos）

5. 2014-12-10 12:18:15,728 WARN SecurityLogger.org.apache.hadoop.ipc.Server: Auth

failed for <ipAddress>:39838:null (DIGEST-MD5: IO error acquiring password)

2014-12-10 12:18:15,728 INFO org.apache.hadoop.ipc.Server: Socket Reader #1 for port

8020: readAndProcess from client <ipAddress> threw exception

[org.apache.hadoop.ipc.StandbyException: Operation category READ is not supported in

state standby]

The real reason of failure is the second message about StandbyException,

However, the first message is confusing because it talks about "DIGEST-MD5: IO error

acquiring password".

https://issues.apache.org/jira/browse/HADOOP-11692

6. javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: Failure

unspecified at GSS-API level (Mechanism level: Request is a replay (34))]

Caused by: GSSException: Failure unspecified at GSS-API level (Mechanism level:

Request is a replay (34))

Caused by: KrbException: Request is a replay (34)

这通常发生在高并发的情况下，kdc默认情况下会有一个重放攻击检测的机制，当

使用同一个tgt同一个时刻（精确到微秒）请求同一个TGS的时候会被KDC认为是

重放攻击而拒绝，可以在kdc启动之前加一个环境变量 KRB5RCACHETYPE=none

关掉这个功能，java JDK中也内置了这个replay的检查，然后在1.7没有关掉的参数

，1.8里面可以设置 sun.security.krb5.rcache=none关掉这个cache WARP-14694 - 正

在获取问题细节。。。状态

7. 5月 20 03:20:19 cpbd-dw-nn2 krb5kdc[60404](info): DISPATCH: repeated

(retransmitted?) request from 192.168.41.24, resending previous response

5月 20 03:20:19 cpbd-dw-nn2 krb5kdc[60404](info): DISPATCH: repeated

(retransmitted?) request from 192.168.41.26, resending previous response

这个问题在docker环境的kerberos会出现，在邮政的生产也出现了一次，正如这个

报错说的网络包出现了重传错误，因为网络上的问题，可能是配置问题，造成kinit

发出的AS-req等消息被发送了两次，kdc不接受这样的请求。

8. 5月 20 03:20:19 cpbd-dw-nn2 krb5kdc[60404](info): TGS_REQ (6 etypes {18 17 16 23

1 3}) 192.168.41.9: PROCESS_TGS: authtime 0, hive/cpbd-dw-dn005@TDH for

hdfs/cpbd-dw-nn2@TDH, Clock skew too great

这个问题也会在客户端报出来，因为是为了重放攻击等问题，kdc不接受超过一定

时间差的请求，这个时间差默认是5分钟以内。如果出现这个问题，请检查ntp服务

是否正常同步集群的时间

9. 使用hive用户登录inceptor操作hbase表，但是一直报错说，另外一个用户没有对应

的hbase表的权限

Bug参考： WARP-14855 - 正在获取问题细节。。。状态

10. Java.io.IOException: Server asks us to fall back to SIMPLE auth, but this client is

configured to only allow secure connection

如报错所说，server要求的是SIMPLE认证，也就是server没有开安全，但是client端

只允许安全链接。因此client端需要关掉安全，删除core-site.xml中的

hadoop.security.authentication的配置项，或者开启服务端的安全。另外还需要检查

client端的配置文件是否与服务端的配置相同

11. org.apache.hadoop.hbase.security.AccessDeniedException: Kerberos principal name

does NOT have the expected hostname part: hbase

org.apache.hadoop.hbase.ipc.RpcServer$Connection.saslReadAndProcess(RpcServer.jav

a:1297)

从报错上看，是在创建Saslserver的时候出的问题，因为loign了一个错误的用户，

或者是没有成功登录kerberos，UserGroupInformation.getCurrentUser() 得到的是一个

hbase的用户，正确的应该是 hbase/<hostname>这个用户。最后发现是

/etc/hdfs1/core-site.xml缺少了hadoop.security.authentication的配置，但是

/etc/hyperbase1/conf/hbase-site.xml中的hbase.security.authentication是kerberos，所以

hbase仍然使用saslserver使用安全连接，但是缺少hadoop.security.authentication导致

没有正常的登录kerberos，所以UserGroupInformation.getCurrentUser()得到一个错误

的用户。

12. kafka启动时候的报错

2017-03-19 06:46:02,071 INFO kafka.server.KafkaServer: starting

2017-03-19 06:46:02,074 INFO kafka.server.KafkaServer: Connecting to zookeeper on

transwarp-1:2181,transwarp-2:2181,transwarp-3:2181

2017-03-19 06:46:02,162 FATAL kafka.server.KafkaServer: Fatal error during

KafkaServer startup. Prepare to shutdown

org.I0Itec.zkclient.exception.ZkException:

org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth

for /brokers/ids

at org.I0Itec.zkclient.exception.ZkException.create(ZkException.java:68)

at org.I0Itec.zkclient.ZkClient.retryUntilConnected(ZkClient.java:1001)

at org.I0Itec.zkclient.ZkClient.setAcl(ZkClient.java:333)

at kafka.utils.ZkUtils.makeSurePersistentPathExists(ZkUtils.scala:414)

at kafka.utils.ZkUtils$$anonfun$setupCommonPaths$1.apply(ZkUtils.scala:262)

at kafka.utils.ZkUtils$$anonfun$setupCommonPaths$1.apply(ZkUtils.scala:261)

at scala.collection.immutable.List.foreach(List.scala:318)

at kafka.utils.ZkUtils.setupCommonPaths(ZkUtils.scala:261)

at kafka.server.KafkaServer.initZk(KafkaServer.scala:330)

at kafka.server.KafkaServer.startup(KafkaServer.scala:187)

at kafka.server.KafkaServerStartable.startup(KafkaServerStartable.scala:39)

at kafka.Kafka$.main(Kafka.scala:67)

at kafka.Kafka.main(Kafka.scala)

Caused by: org.apache.zookeeper.KeeperException$NoAuthException:

KeeperErrorCode = NoAuth for /brokers/ids

at org.apache.zookeeper.KeeperException.create(KeeperException.java:113)

at org.apache.zookeeper.KeeperException.create(KeeperException.java:51)

at org.apache.zookeeper.ZooKeeper.setACL(ZooKeeper.java:1459)

at org.I0Itec.zkclient.ZkConnection.setAcl(ZkConnection.java:177)

at org.I0Itec.zkclient.ZkClient$1.call(ZkClient.java:338)

at org.I0Itec.zkclient.ZkClient$1.call(ZkClient.java:333)

at org.I0Itec.zkclient.ZkClient.retryUntilConnected(ZkClient.java:991)

... 11 more

剩余78页未读，继续阅读

评论收藏

内容反馈

首席撩妹指导官

粉丝: 849
资源: 33

Security问题总结

Spring Security学习总结

Spring Security学习总结

Spring_Security_学习总结

SpringSecurity学习总结源代码

Spring Security学习总结一

Security+培训全套PPT汇总.zip

Spring Security 学习总结1_3

spring security 学习总结文档

Spring Security学习总结2_2

深入浅析 Spring Security 缓存请求问题

laravel-security-checker：向SensioLabs Security Checker添加了Laravel功能。 添加一个命令来检查漏洞，并在有问题时通过电子邮件将其发送给您

NFLX-security-monkey:Security Monkey Security Monkey监视策略更改并针对AWS账户中的不安全配置发出警报。 虽然Security Monkey的主要目的是安全性，但它本质上是一个变更跟踪系统，它也被证明是跟踪潜在问题的有用工具。

Spring Security3 安全 个人总结

spring-security 官方文档 中文版

SpringSecurity学习总结一.pdf

SpringBoot+SpringSecurity+WebSocket

精彩：Spring Security 演讲PPT

Finding-Security-Related-Keywords:在这个项目中，我试图找到用于参考与安全性或性能相关的问题的最佳关键字。

Spring Security跳转页面失败问题解决

无线传感器网络安全技术 研究方向总结 Wireless Sensor Networks Security.doc

spring-security-ng:演示 Spring Security 中缺少“X-CSRF-TOKEN”的问题的示例

Microsoft Security Essentials无法自动更新问题

SpringSecurity3.1实际摸索总结

华为HCIE-Security学习备考资料汇总集.rar

ws-security三个jar包

jdk1.8 安全包 security

最新资源

laravel-security-checker：向SensioLabs Security Checker添加了Laravel功能。添加一个命令来检查漏洞，并在有问题时通过电子邮件将其发送给您

NFLX-security-monkey:Security Monkey Security Monkey监视策略更改并针对AWS账户中的不安全配置发出警报。虽然Security Monkey的主要目的是安全性，但它本质上是一个变更跟踪系统，它也被证明是跟踪潜在问题的有用工具。

Spring Security3 安全个人总结

spring-security 官方文档中文版

无线传感器网络安全技术研究方向总结 Wireless Sensor Networks Security.doc