zookeeper添加用户认证

 

>

今接道项目反馈，说是在漏洞扫描中发现 zookeeper存在安全漏洞风险，建议是给zookeeper添加用户密码认证，接下来我们就来给zookeeper添加用户认证吧！

 

特别提醒：不同版本，登入zookeeper方式也会不同，这里需要特别注意。

 

我的zookeeper版本：kafka_2.13-3.1.0

 

• 添加用户认证

登入zookeeper方式：./bin/zookeeper-shell.sh + 主机地址：端口

# 登入方式，举例
./bin/zookeeper-shell.sh 127.0.0.1:2181

# 低版本启动客户端方式：
[root@localhost ~]# zkCli.sh 　　//启动客户端

 

登入zookeeper客户端后，可以先查看下当前默认权限状态。然后再添加用户认证。并给指定目录设置权限。

# 查询默认权限
#可以看到默认是world:anyone  就相当于无权限访问
getAcl /

#添加一个账号密码,账号密码可自定义
addauth digest zkadmin:zk@123

#给 / 根目录设置权限,也可以说是其他目录
setAcl / auth:zkadmin:zk@123:cdrwa

#设置后可以再执行 getAcl / 看下权限是否改过来了

 

注意：设置完成用户认证后，默认执行 getAcl / 就会提示没有权限了，此时需要先 addauth 一下就可以了，也可以理解为先登录下。

 ==>> 添加用户认证后，需要重启zookeeper服务。

 

• IP白名单方式

备注：对需要进行白名单设置的路径进行设置，此处设置的路径没有继承关系，即设置了/test的白名单，但是/test/test2依然没有设置为白名单。

# ip白名单添加
setAcl / ip:127.0.0.1:cdrwa,ip:192.10.1.1:cdrwa,ip:192.10.1.2:cdrwa,ip:192.10.1.3:cdrwa,auth:zkadmin:cdrwa

  

• 恢复zk不使用认证

 若不再需要用户密码认证，也可以取消。

# 取消认证
setAcl / world:anyone:cdrwa 

  #或者给zk添加跳过验证

  skipACL = yes

 

 

 

>>>

参考来源：

①. https://blog.csdn.net/SirHongGe/article/details/125539617

②. https://www.cnblogs.com/fengjian2016/p/16775392.html

③. https://www.cnblogs.com/jiaojiner/p/15489579.html