Zookeeper Acl权限 超级用户权限 怎么跳过ACL密码/账户验证

Zookeeper的一个节点不知道什么原因无法删除了,查看日志发现是没有权限,
我们之前使用ACL进行Zookeeper节点的权限管理。

可以解决以下三种但不限于以下三种问题:
1.在设置Acl权限时遇到了坑人(明文,密文)的问题,无法找回该路径权限
2.忘记路径对应的用户名以及密码
3.没有权限

使用以下两种方式生成密码的密文:

第一种使用代码生成密码的密文:

    import org.apache.zookeeper.KeeperException;
    import java.io.IOException;
    import java.security.MessageDigest;
    import java.security.NoSuchAlgorithmException;


    public class Acl {
        public static void main(String[] args) throws IOException, InterruptedException, KeeperException {
            String passwd = "super:Super_CmSz_Ht159357";
            System.out.println(generateDigest(passwd));
        }

    static public String generateDigest(String idPassword) {
        String parts[] = idPassword.split(":", 2);
        byte digest[] = null;
        try {
            digest = MessageDigest.getInstance("SHA1").digest(idPassword.getBytes());
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
        return parts[0] + ":" + base64Encode(digest);
    }

    static final private String base64Encode(byte b[]) {
        StringBuilder sb = new StringBuilder();
        for (int i = 0; i < b.length; ) {
            int pad = 0;
            int v = (b[i++] & 0xff) << 16;
            if (i < b.length) {
                v |= (b[i++] & 0xff) << 8;
            } else {
                pad++;
            }
            if (i < b.length) {
                v |= (b[i++] & 0xff);
            } else {
                pad++;
            }
            sb.append(encode(v >> 18));
            sb.append(encode(v >> 12));
            if (pad < 2) {
                sb.append(encode(v >> 6));
            } else {
                sb.append('=');
            }
            if (pad < 1) {
                sb.append(encode(v));
            } else {
                sb.append('=');
            }
        }
        return sb.toString();
    }

    static final private char encode(int i) {
        i &= 0x3f;
        if (i < 26) {
            return (char) ('A' + i);
        }
        if (i < 52) {
            return (char) ('a' + i - 26);
        }        第一种使用代码生成密码的密文:

        if (i < 62) {
            return (char) ('0' + i - 52);
        }
        return i == 62 ? '+' : '/';
    }
}

生成后的ID加密码为:super:VF+l3YE+veE4zEI/AgJX8bJVy3s=

第二种使用 linux 生成密码的密文:

      mcbadm@cm01 ~]$ echo -n super:Super_CmSz_Ht159357 | openssl dgst -binary -sha1 | openssl base64
      zookeeper:4lvlzsipXVaEhXMd+2qMrLc0at8=

生成后的ID加密码为:super:VF+l3YE+veE4zEI/AgJX8bJVy3s=

修改Zookeeper的启动脚本zkServer.sh,在start附件(140行左右)加入以下配置:
启动脚本只需要修改一个即可
重启修改脚本上的zookeeper服务即可

nohup "$JAVA" "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" "-Dzookeeper.DigestAuthenticationProvider.superDigest=super:VF+l3YE+veE4zEI/AgJX8bJVy3s=" \
-cp "$CLASSPATH" $JVMFLAGS $ZOOMAIN "$ZOOCFG" > "$_ZOO_DAEMON_OUT" 2>&1 < /dev/null &

重新启动Zookeeper服务:

zkServer.sh restart

使用super:Super_CmSz_Ht159357连接Zookeeper服务器就可以对里面的节点任意妄为了。

addauth digest super:Super_CmSz_Ht159357

提醒,操作完成后最好把zkServer.sh文件还原了,以免出现安全问题。

如果密码真的忘记了

#配置文件中添加一下配置跳过Acl验证,默认为no
skipACL=yes

修改好密码后记得改为no或者删除此配置

如何正确的设置 zookeeper Acl权限 :



posted @ 2020-05-20 16:55  菜鸟++  阅读(2452)  评论(0编辑  收藏  举报