快捷導(dǎo)航

node-exporter被檢測(cè)出來(lái)pprof調(diào)試信息泄露漏洞問(wèn)題

更新時(shí)間：2024年04月12日 11:05:19 作者：Meepoljd

這篇文章主要介紹了node-exporter被檢測(cè)出來(lái)pprof調(diào)試信息泄露漏洞問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教

說(shuō)在前面

慣例開(kāi)篇吐槽，有些仔仔習(xí)慣搞點(diǎn)自研的安全掃描工具，然后加點(diǎn)DIY元素，他也不管掃的準(zhǔn)不準(zhǔn)，就要給你報(bào)個(gè)高中危的漏洞，然后就要去修復(fù)，這次遇到個(gè)其他的就是node-exporter默認(rèn)引入了pprof做一些性能指標(biāo)的采集，然后仔仔的漏洞掃描工具就給你掃出來(lái)這么一條奇葩漏洞：

先不說(shuō)處理方法，去github看了一圈，確實(shí)有人提了issue：

看到是中文我就大概知道這些仔仔可能是從同一個(gè)貨源采購(gòu)的安全掃描工具，對(duì)于這個(gè)問(wèn)題官方在另一個(gè)issue中提了一下：

node-exporter[issues]-1911

大概意思是開(kāi)發(fā)者并沒(méi)有發(fā)現(xiàn)pprof會(huì)泄漏啥信息，issue提出者使用的是gosec工具做的靜態(tài)安全掃描，可能產(chǎn)生很多編譯期間的誤報(bào)，然后社區(qū)達(dá)成一致的結(jié)論是和prometheus社區(qū)保持一致，轉(zhuǎn)而使用codeql工具。

解決方法

但是為了能過(guò)所謂的安全檢查還是要處理這個(gè)事情，處理之前，打開(kāi)http://{node-exporter-ip}:{port}/debug/pprof的訪問(wèn)鏈接會(huì)出現(xiàn)這樣的內(nèi)容；

原因也很簡(jiǎn)單，就是因?yàn)樵趎ode-exporter.go中引用了pprof包，我們要做的就是把引用刪除，重新編譯：

import (
	"fmt"
	stdlog "log"
	"net/http"
	_ "net/http/pprof" // 刪除這一行
	"os"
	"os/user"
	"runtime"
	"sort"

	"github.com/prometheus/common/promlog"
	"github.com/prometheus/common/promlog/flag"

	"github.com/go-kit/log"
	"github.com/go-kit/log/level"
	"github.com/prometheus/client_golang/prometheus"
	promcollectors "github.com/prometheus/client_golang/prometheus/collectors"
	"github.com/prometheus/client_golang/prometheus/promhttp"
	"github.com/prometheus/common/version"
	"github.com/prometheus/exporter-toolkit/web"
	"github.com/prometheus/exporter-toolkit/web/kingpinflag"
	"github.com/prometheus/node_exporter/collector"
	kingpin "gopkg.in/alecthomas/kingpin.v2"
)

把二進(jìn)制包替換掉原來(lái)的，然后重啟一下，再訪問(wèn)/debug/pprof就會(huì)直接跳到Metrics主頁(yè)了：

結(jié)語(yǔ)

這種操作就是關(guān)閉了pprof性能指標(biāo)的采集，適用于大部分版本的node-exporter，其他類似的go程序也可以這樣進(jìn)行操作。

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

您可能感興趣的文章:

相關(guān)文章

Go語(yǔ)言接口用法實(shí)例
這篇文章主要介紹了Go語(yǔ)言接口用法,實(shí)例分析了Go語(yǔ)言接口的功能、定義及使用技巧,需要的朋友可以參考下
2015-02-02
Golang配置解析神器go?viper使用詳解
viper是一個(gè)很完善的Go項(xiàng)目配置解決方案，很多著名的開(kāi)源項(xiàng)目都在使用，比如Hugo,Docker都使用了該庫(kù)，使用viper可以讓我們專注于自己的項(xiàng)目代碼，而不用自己寫(xiě)那些配置解析代碼，本文給大家介紹Golang配置解析神器go?viper使用，感興趣的朋友一起看看吧
2022-05-05
深入理解Go語(yǔ)言對(duì)象池
對(duì)象池是一種在編程中用于優(yōu)化資源管理的技術(shù),本文主要介紹了深入理解Go語(yǔ)言對(duì)象池,對(duì)象池通常通過(guò)sync.Pool包或自定義數(shù)據(jù)結(jié)構(gòu)實(shí)現(xiàn),下面就來(lái)介紹一下
2024-01-01
Go?連接?MySQL之?MySQL?預(yù)處理詳解
Go語(yǔ)言提供了豐富的庫(kù)和工具，可以方便地連接MySQL數(shù)據(jù)庫(kù)。MySQL預(yù)處理是一種提高數(shù)據(jù)庫(kù)操作效率和安全性的技術(shù)。Go語(yǔ)言中的第三方庫(kù)提供了MySQL預(yù)處理的支持，通過(guò)使用預(yù)處理語(yǔ)句，可以避免SQL注入攻擊，并且可以提高數(shù)據(jù)庫(kù)操作的效率。
2023-06-06
在Golang中使用iota案例詳解
在Go語(yǔ)言中，iota是一個(gè)預(yù)定義的標(biāo)識(shí)符，用于在常量聲明中生成連續(xù)的遞增值，iota的值從0開(kāi)始，每次在常量聲明中使用時(shí)遞增，本就給大家講解一下Golang中iota的使用案例，感興趣的同學(xué)跟著小編一起來(lái)看看吧
2023-07-07
golang?run時(shí)報(bào)undefined錯(cuò)誤的解決
這篇文章主要介紹了golang?run時(shí)報(bào)undefined錯(cuò)誤的解決方案,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2024-03-03
golang?metrics各個(gè)指標(biāo)含義講解說(shuō)明
這篇文章主要為大家介紹了golang?metrics各個(gè)指標(biāo)含義講解說(shuō)明，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職加薪
2023-05-05
關(guān)于Golang標(biāo)準(zhǔn)庫(kù)flag的全面講解
這篇文章主要介紹了關(guān)于Golang標(biāo)準(zhǔn)庫(kù)flag的全面講解，這個(gè)庫(kù)的代碼量只有1000行左右，卻提供了非常完善的命令行參數(shù)解析功能，更多相關(guān)內(nèi)容需要的朋友可以參考一下
2022-09-09
Go語(yǔ)言斷言和類型查詢的實(shí)現(xiàn)
Go語(yǔ)言變量類型包含基礎(chǔ)類型和復(fù)合類型,類型斷言一般是對(duì)基礎(chǔ)類型的處理,本文主要介紹了Go語(yǔ)言斷言和類型查詢的實(shí)現(xiàn),感興趣的可以了解一下
2024-01-01
在goland中讀取tpl文件的圖文操作
這篇文章主要介紹了在goland中讀取tpl文件的圖文操作，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧
2020-12-12