欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

node-exporter被檢測出來pprof調(diào)試信息泄露漏洞問題

 更新時(shí)間:2024年04月12日 11:05:19   作者:Meepoljd  
這篇文章主要介紹了node-exporter被檢測出來pprof調(diào)試信息泄露漏洞問題,具有很好的參考價(jià)值,希望對大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教

說在前面

慣例開篇吐槽,有些仔仔習(xí)慣搞點(diǎn)自研的安全掃描工具,然后加點(diǎn)DIY元素,他也不管掃的準(zhǔn)不準(zhǔn),就要給你報(bào)個(gè)高中危的漏洞,然后就要去修復(fù),這次遇到個(gè)其他的就是node-exporter默認(rèn)引入了pprof做一些性能指標(biāo)的采集,然后仔仔的漏洞掃描工具就給你掃出來這么一條奇葩漏洞:

先不說處理方法,去github看了一圈,確實(shí)有人提了issue:

看到是中文我就大概知道這些仔仔可能是從同一個(gè)貨源采購的安全掃描工具,對于這個(gè)問題官方在另一個(gè)issue中提了一下:

node-exporter[issues]-1911

大概意思是開發(fā)者并沒有發(fā)現(xiàn)pprof會泄漏啥信息,issue提出者使用的是gosec工具做的靜態(tài)安全掃描,可能產(chǎn)生很多編譯期間的誤報(bào),然后社區(qū)達(dá)成一致的結(jié)論是和prometheus社區(qū)保持一致,轉(zhuǎn)而使用codeql工具。

解決方法

但是為了能過所謂的安全檢查還是要處理這個(gè)事情,處理之前,打開http://{node-exporter-ip}:{port}/debug/pprof的訪問鏈接會出現(xiàn)這樣的內(nèi)容;

原因也很簡單,就是因?yàn)樵趎ode-exporter.go中引用了pprof包,我們要做的就是把引用刪除,重新編譯:

import (
	"fmt"
	stdlog "log"
	"net/http"
	_ "net/http/pprof" // 刪除這一行
	"os"
	"os/user"
	"runtime"
	"sort"

	"github.com/prometheus/common/promlog"
	"github.com/prometheus/common/promlog/flag"

	"github.com/go-kit/log"
	"github.com/go-kit/log/level"
	"github.com/prometheus/client_golang/prometheus"
	promcollectors "github.com/prometheus/client_golang/prometheus/collectors"
	"github.com/prometheus/client_golang/prometheus/promhttp"
	"github.com/prometheus/common/version"
	"github.com/prometheus/exporter-toolkit/web"
	"github.com/prometheus/exporter-toolkit/web/kingpinflag"
	"github.com/prometheus/node_exporter/collector"
	kingpin "gopkg.in/alecthomas/kingpin.v2"
)

把二進(jìn)制包替換掉原來的,然后重啟一下,再訪問/debug/pprof就會直接跳到Metrics主頁了:

結(jié)語

這種操作就是關(guān)閉了pprof性能指標(biāo)的采集,適用于大部分版本的node-exporter,其他類似的go程序也可以這樣進(jìn)行操作。

以上為個(gè)人經(jīng)驗(yàn),希望能給大家一個(gè)參考,也希望大家多多支持腳本之家。

相關(guān)文章

  • Go語言接口用法實(shí)例

    Go語言接口用法實(shí)例

    這篇文章主要介紹了Go語言接口用法,實(shí)例分析了Go語言接口的功能、定義及使用技巧,需要的朋友可以參考下
    2015-02-02
  • Golang配置解析神器go?viper使用詳解

    Golang配置解析神器go?viper使用詳解

    viper是一個(gè)很完善的Go項(xiàng)目配置解決方案,很多著名的開源項(xiàng)目都在使用,比如Hugo,Docker都使用了該庫,使用viper可以讓我們專注于自己的項(xiàng)目代碼,而不用自己寫那些配置解析代碼,本文給大家介紹Golang配置解析神器go?viper使用,感興趣的朋友一起看看吧
    2022-05-05
  • 深入理解Go語言對象池

    深入理解Go語言對象池

    對象池是一種在編程中用于優(yōu)化資源管理的技術(shù),本文主要介紹了深入理解Go語言對象池,對象池通常通過sync.Pool包或自定義數(shù)據(jù)結(jié)構(gòu)實(shí)現(xiàn),下面就來介紹一下
    2024-01-01
  • Go?連接?MySQL之?MySQL?預(yù)處理詳解

    Go?連接?MySQL之?MySQL?預(yù)處理詳解

    Go語言提供了豐富的庫和工具,可以方便地連接MySQL數(shù)據(jù)庫。MySQL預(yù)處理是一種提高數(shù)據(jù)庫操作效率和安全性的技術(shù)。Go語言中的第三方庫提供了MySQL預(yù)處理的支持,通過使用預(yù)處理語句,可以避免SQL注入攻擊,并且可以提高數(shù)據(jù)庫操作的效率。
    2023-06-06
  • 在Golang中使用iota案例詳解

    在Golang中使用iota案例詳解

    在Go語言中,iota是一個(gè)預(yù)定義的標(biāo)識符,用于在常量聲明中生成連續(xù)的遞增值,iota的值從0開始,每次在常量聲明中使用時(shí)遞增,本就給大家講解一下Golang中iota的使用案例,感興趣的同學(xué)跟著小編一起來看看吧
    2023-07-07
  • golang?run時(shí)報(bào)undefined錯(cuò)誤的解決

    golang?run時(shí)報(bào)undefined錯(cuò)誤的解決

    這篇文章主要介紹了golang?run時(shí)報(bào)undefined錯(cuò)誤的解決方案,具有很好的參考價(jià)值,希望對大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2024-03-03
  • golang?metrics各個(gè)指標(biāo)含義講解說明

    golang?metrics各個(gè)指標(biāo)含義講解說明

    這篇文章主要為大家介紹了golang?metrics各個(gè)指標(biāo)含義講解說明,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-05-05
  • 關(guān)于Golang標(biāo)準(zhǔn)庫flag的全面講解

    關(guān)于Golang標(biāo)準(zhǔn)庫flag的全面講解

    這篇文章主要介紹了關(guān)于Golang標(biāo)準(zhǔn)庫flag的全面講解,這個(gè)庫的代碼量只有1000行左右,卻提供了非常完善的命令行參數(shù)解析功能,更多相關(guān)內(nèi)容需要的朋友可以參考一下
    2022-09-09
  • Go語言斷言和類型查詢的實(shí)現(xiàn)

    Go語言斷言和類型查詢的實(shí)現(xiàn)

    Go語言變量類型包含基礎(chǔ)類型和復(fù)合類型,類型斷言一般是對基礎(chǔ)類型的處理,本文主要介紹了Go語言斷言和類型查詢的實(shí)現(xiàn),感興趣的可以了解一下
    2024-01-01
  • 在goland中讀取tpl文件的圖文操作

    在goland中讀取tpl文件的圖文操作

    這篇文章主要介紹了在goland中讀取tpl文件的圖文操作,具有很好的參考價(jià)值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2020-12-12

最新評論