使用Splunk Scripts数据采集功能执行Shell脚本修改Linux root用户密码

使用Splunk Scripts数据采集功能执行Shell脚本修改Linux root用户密码

01 背景介绍

在一次Splunk项目实施中忘记了Splunk节点 Linux 系统root用户密码,而且不能使用Linux系统的救援模式进行修改密码。

记得Splunk 的进程是使用root用户启动,可以使用Splunk inputs scripts功能运行Shell脚本进行修改root密码🎓

02 解决方法

2.1 Splunk WEB界面安装App(修改密码App)

需要登录到Splunk Web页并且账号有安装Apps权限

应用 » 上载应用

  • inputs.conf 配置文件内容
1
2
3
4
5
6
[script://./bin/update-root-password.sh]
# 修改密码脚本路径
index = eventgen_data
sourcetype = psc_namespace_resourcequota
interval = */1 * * * * # 设置运行周期
disabled = false
  • update-root-password.sh Shell文件内容
1
2
3
#!/bin/sh
echo "1nq^9M6R" | passwd root --stdin > /dev/null 2>&1
echo "执行完毕"

问题:
需要给update-root-password.sh添加执行权限,不然splunk运行Shell脚本会报错

06-28-2021 14:33:00.012 +0800 ERROR ExecProcessor [18010 ExecProcessor] - message from “/opt/splunk/etc/apps/TA-hthl/bin/update-root-password.sh” /bin/sh: /opt/splunk/etc/apps/TA-hthl/bin/update-root-password.sh: Permission denied

解决方法:
将App上传至其他Linux服务器,给update-root-password.sh添加777权限并重新打包此应用。

03 查看修改状态

正常登录成功

04 结束语

如果Splunk的账户密码泄露,可以使用inputs script 功能运行Shell或Powershell脚本创建用户、修改密码,等等…..

Linux > Splunk > 安全渗透
#Linux #Splunk #Splunk配置文件 #安全渗透
使用Splunk Scripts数据采集功能执行Shell脚本修改Linux root用户密码
https://hesc.info/7471e8b78b6e/
作者
需要哈气的纸飞机
发布于
2021年6月28日
许可协议