graylog API 弱密码

news2024/11/16 17:50:27

graylog web 页面密码设置

输入密码：获取sha256加密后密码

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

vi /etc/graylog/server/server.conf
#修改以下配置
root_username=root
root_password_sha2=上边获取的密文

api/system/local 等API接口被告知有弱密码
在这里插入图片描述

解码后：
数字当成用户。session当成密码

Graylog API 并不使用传统的用户名/密码组合进行HTTP基本认证，而是采用基于JWT（JSON Web Tokens）的API令牌机制来确保API的安全访问。因此，不存在设置HTTP弱口令的风险，因为API令牌不可预测且通常是一次性生成的。

结论：这一串是 API 令牌 ,后面的session 只是个标识，安全设备把前面的当作账户名后面的当作密码了。加入白名单就ok了。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1517867.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！