使用ZooKeeper ACL特性进行znode控制

Zookeeper权限控制与认证详解
最新推荐文章于 2024-06-25 19:33:36 发布
转载 最新推荐文章于 2024-06-25 19:33:36 发布 · 1.6k 阅读 · 1

本文详细介绍了Zookeeper作为配置管理服务时的安全要求,包括客户端登录认证、认证方式(如digest)、权限控制(世界权限、认证权限、digest权限、ip权限)以及如何通过zkCli.sh创建znode并设置ACL。通过示例展示了auth认证方式、成功与失败的认证过程,以及客户端验证的方法。同时,阐述了Zookeeper认证的扩展,包括自定义实现AuthenticationProvider接口提供自定义认证方式。

Zookeeper作为配置管理服务,因为配置数据有很高的安全要求,需要有权限控制,客户端需要进行登录认证才操作(查看数据,修改数据,创建children znode等等)Zookeeper上面对应znode。

    

1. 简单的客户端认证zkCli.sh 命令如下:


1
2
[zk: localhost:2181(CONNECTED) 23]  ls  /tom
Authentication is not valid :  /tom


1
2
3
4
#添加认证之后,即可查看znode /tom
[zk: localhost:2181(CONNECTED) 27] addauth digest tom:tom
[zk: localhost:2181(CONNECTED) 28]  ls  /tom
[]

2. Zookeeper提供的认证方式

   Zookeeper对权限的控制是znode级别的,不继承即对父节点设置权限,其子节点不继承父节点的权限。 
  world:有个单一的ID,anyone,表示任何人。
  auth:不使用任何ID,表示任何通过验证的用户(验证是指创建该znode的权限)。 
  digest:使用 用户名:密码 字符串生成MD5哈希值作为ACL标识符ID。权限的验证通过直接发送用户名密码字符串  的方式完成, 
  ip:使用客户端主机ip地址作为一个ACL标识符,ACL表达式是以 addr/bits 这种格式表示的。ZK服务器会将addr的前bits位与客户端地址的前bits位来进行匹配验证权限。 

 

 3. auth认证方式

  Perm:ALL, Id:("auth","") 即创建者拥有访问权限。


  /auth的数据是“auth”, auth认证方式,读写权限。

1
2
[zk: localhost:2181(CONNECTED) 37] create  /auth  auth auth::rw
Created  /auth

 查看/auth的访问控制列表可以看出需要通过digest模式用户名密码是tom/tom认证才可以访问,不对id做限制。

1
2
3
[zk: localhost:2181(CONNECTED) 42] getAcl  /auth
'digest,' tom:GcSMsIa2MmdW+zdSJKAv8gcnrpI=
: rw

 成功的认证:

1
2
3
4
5
[zk: localhost:2181(CONNECTED) 0]  ls  /auth    
Authentication is not valid :  /auth
[zk: localhost:2181(CONNECTED) 1] addauth digest tom:tom
[zk: localhost:2181(CONNECTED) 2]  ls  /auth
[]

 失败的认证:

1
2
3
[zk: localhost:2181(CONNECTED) 2] addauth digest supper:admin
[zk: localhost:2181(CONNECTED) 3]  ls  /auth
Authentication is not valid :  /aut

 4.通过zkCli.sh 创建znode,并设置ACL

  4.1 创建设置ACL的znode

   图1 - 用户/密码super/admin创建/supper:

wKiom1XUQebS6dP3AABboEhkzjQ610.jpg

 图2-用户/密码tom/tom创建/tom

wKioL1XUQ_PyHV37AABWr1IgZxE562.jpg

 图3-查看/supper和/tom的ACL:

wKiom1XUQebxVoT-AACXNGAfKTg521.jpg


  4.2 使用如下代码来生成用户名和密码的摘要:

1
2
3
4
java -cp $ZK_CLASSPATH \
org.apache.zookeeper.server.auth.DigestAuthenticationProvider amy:secret
....
amy:secret->amy:Iq0onHjzb4KyxPAp8YWOIC8zzwY=

 

 注:在启动Zookeeper服务是指定

1
-Dzookeeper.DigestAuthenticationProvider.superDigest= super :<base64encoded(SHA1(password))

 将启用超级用户,通过该supper:密码认证的客户端访问将不受ACL列表限制。

 

 5. 客户端验证

  5.1验证supper/admin

1
2
3
4
5
6
7
8
9
10
ZooKeeper zooKeeper1 =  new  ZooKeeper( "192.168.88.153:2181" 10000 new  Watcher() {
     @Override
     public  void  process(WatchedEvent event) {
         System.out.println(event);
     }
});
//zooKeeper1.addAuthInfo("digest", "supper:admin".getBytes());
Stat stat =  new  Stat();
byte [] supperData = zooKeeper1.getData( "/supper" true , stat);
System.out.println( new  String(supperData) +  ","  + stat);

 运行上面代码,读(r)znode "/supper" :

 wKioL1XURobjrdJSAAFoTF3wkLo594.jpg

 去掉注释代码,为客户端添加认证信息之后:

 

1
0,8589940093,8589940093,1439970090902,1439970090902,0,0,0,0,1,0,8589940093

 数据是0,符合4中图1设置的值。


 5.2验证tom/tom

 

1
2
3
4
5
6
7
8
9
10
ZooKeeper zooKeeper2 =  new  ZooKeeper( "192.168.88.153:2181" 10000 new  Watcher() {
     @Override
     public  void  process(WatchedEvent event) {
         System.out.println(event);
     }
});
zooKeeper2.addAuthInfo( "digest" "tom:tom" .getBytes());
stat =  new  Stat();
byte [] tomData = zooKeeper2.getData( "/tom" true , stat);
System.out.println( new  String(tomData) +  ","  + stat);

  结果似同5.1.


  通过zkCli.sh客户端连接,认证和读取

 wKioL1XUSdeCkx_-AAFruzksR4Y745.jpg


6.使用zkCli.sh 验证acl(点击查看大图)

 wKiom1XUTGywiY9SAAMtMoSLiWI715.jpg


Zookeeper提供的权限信息表:

 

权限 描述 setAcl中的简写
write 能够设置znode的值 w
read 能够读取znode的值和列出它的children znode r
create 能够创建children znode c
delete 能够删除children znode d
admin 能够执行setAcl即设置访问控制列表 a
all 所有权限 wrcda


7:注意问题:

 7.1 通过zkCli.sh设置acl的格式是scheme:id:perm,perm的写法是简写字母连接,如读写权限rw和Linux的文件系统的权限相似。有些版本可能是:READ|WRITE, 所以需要注意命令行提示信息。

 7.2 通过zkCli.sh设置acl时,scheme是digest的时候,id需要密文,具体生成参见文4.2

 7.3 通过Zookeeper的客户端编码方式添加认证,digest对应的auth数据是明文,参见文5.1

 

8.Zookeeper认证的扩展

 实现AuthenticationProvider接口提供自定义的认证方式。

1
org.apache.zookeeper.server.auth.AuthenticationProvider


 比如自定义实现AuthenticationProvider类是secondriver.MyProvier,可以通过两种方式注册Zookeeper认证体系中去。

 第一种:启动Zookeeper服务是通过-Dzookeeper.authPorivder.X=secondriver.MyProvider

 第二种:添加到配置文件(zoo.conf)中如:

1
zookeeper.authProvider.1=secondriver.MyProvider

 注:上面X是对authProvider实现提供编号用来区别不同的authProvider。


本文出自 “野马红尘” 博客,请务必保留此出处http://aiilive.blog.51cto.com/1925756/1686132

Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4856
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
zookeeper Acl权限控制
baidu_32223873的博客
03-18 504
简介 ACL全称Access Controll List,访问控制列表,用来对znode的读写进行权限控制,以保证数据安全性。 ACL由3部分组成,权限模式(schema),授权对象(id),权限信息(permission),schema:\id:permission 权限模式 模式 说明 world 默认,全世界都可以访问 ip 针对一个或多个IP授权 auth 用户名密码,明文 digest 用户名密码,密文 授权对象 ip的授权对象就是IP地址,一个或多个,逗号分割 a
ZooKeeper :Java客户端Session、ACLZnode API介绍
kaven
11-21 1386
ZooKeeper :Java客户端API介绍 前期回顾: ZooKeeperShell脚本搭建单机版ZooKeeper ZooKeeper :重要概念 & 客户端命令介绍 ZooKeeper :搭建ZooKeeper集群 ZooKeeper :Nginx基于TCP协议代理ZooKeeper集群 本篇博客博主将会给大家介绍ZooKeeper提供的Java客户端API,下一篇博客再介绍Curator的使用。 先创建一个maven项目: pom.xml: <?xml version="1
ZooKeeperzkCli.sh客户端的命令使用
wangbaosongmsn的博客
08-04 318
https://www.cnblogs.com/chengxuyuanzhilu/p/6698059.html zkCli.sh使用 ZooKeeper服务器简历客户端 ./zkCli.sh -timeout 0 -r -server ip:port ./zkCli.sh -timeout 5000 -server 192.9.200.242:2181 -r:即使ZooKeeper服务器集群一般以上的服务器当掉,也给客户端体统读服务 ...
Zookeeper ACL机制
TABE_的博客
10-18 617
目录ACL概述schemeIDpermissionACL特性ACL相关命令 ACL:Access Control List 访问控制列表 ACL概述 ZookeeperACL,可以从三个维度来理解:一是scheme; 二是user; 三是permission,通常表示为scheme: id :perm。 Scheme表示权限模式,ID表示授权对象,Permission表示授权的对象权限。 scheme scheme对应于采用哪种方案来进行权限管理,zookeeper-3.4.4缺省支持下面几种schem
zookeeper删除节点的权限_四、zookeeperAcl权限控制
weixin_34862561的博客
02-05 809
一、概述zookeeper 类似文件系统,client 可以创建节点、更新节点、删除节点,那么如何做到节点的权限的控制呢?zookeeper的access control list 访问控制列表可以做到这一点。语法#采用特定的授权策略给特定的对象授予特定的权限setAcl path scheme:id:permissionacl 权限控制使用scheme:id:permission 来标识,主要...
深入解析Zookeeper:核心特性与节点类型全景剖析
12-16
除了基本操作,Zookeeper 还提供了ACL(Access Control List)权限控制,允许设置针对不同用户或IP的读写权限,增强了系统的安全性。同时,Zookeeper 内存中的数据可以通过持久化机制保存到磁盘,以防止数据丢失,...
Zookeeper 三、Zookeeper基本使用
最新发布
qq_43626215的博客
06-25 1299
对于每一个事务请求,Zookeeper都会为其分配一个全局唯一的事务ID,用ZXID来表示,通常是一个64位的数字。在Zookeeper中,每一个数据节点都是一个ZNode,上图根目录下有两个节点,分别是:app1和app2,其中app1下面又有三个子节点,所有ZNode按层次化进行组织,形成这么一棵树,ZNode的节点路径标识方式和Unix文件系统路径非常相似,都是由一系列使用斜杠(/)进行分割的路径表示,开发人员可以向这个节点写入数据,也可以在这个节点下面创建子节点。
zookeeper增加权限登录验证
11-19
针对zookeeper的安全漏洞,增加了对访问ip地址的限制。
分布式服务Dubbo+Zookeeper安全认证
weixin_34174422的博客
12-14 956
前言 由于之前的服务都是在内网,Zookeeper集群配置都是走的内网IP,外网不开放相关端口。最近由于业务升级,购置了阿里云的服务,需要对外开放Zookeeper服务。 问题 Zookeeper+dubbo,如何设置安全认证?不想让其他服务连接Zookeeper,因为这个Zookeeper服务器在外网。 查询官方文档: Zookeeper 是 Apac...
zookeepershell客户端
LEOZHYD的博客
07-18 346
0 数据存储特点 znode类似于Linux的目录结构(TREE) , 维护了节点的层级关系 , 真正的数据存储是以key:value的形式存储的! 在所有的ZK节点上存储的数据是同步一致的! zookeeper中对数据的存储采用key-value的形式 然后,它的key有特别的格式——路径的形式!(/service/dn1 doit01/service/dn2doit02) 之所以采取这种形式,是因为zookeeper中的数据节点(znode)之间可以存在父子关系; ...
Zookeeper kafka集群 密码认证
m0_62999427的博客
03-19 2904
zookeeper kafka kafka可视化
zkcli 登陆 退出_zk zkCli shell命令
weixin_39620278的博客
02-22 278
查看zk 注册服务:在zk bin 下执行sh zkCli.sh 计入客户端shell命令行查看zk注册服务:ls / 或者递归查看 ls -s / 列出的为注册服务。查询服务节点的信息:get /zookeeper/configzk 服务管理:创建节点:临时节点退出失效的创建:create -e /node_1/node_1_1 "node 1 1",默认不加-e为永久创建创...
(七)、ZooKeeper 授权验证
热门推荐
tiger的专栏
08-20 1万+
1.Zookeeper权限介绍 ZooKeeper 的权限管理亦即 ACL 控制功能通过 Server 、 Client 两端协调完成: Server 端: 一个 ZooKeeper 的节点( znode )存储两部分内容:数据和状态,状态中包含 ACL 信息。创建一个 znode 会产生一个 ACL 列表,列表中每个 ACL 包括: 验证模式 (scheme)具体内容 (Id)
zookeeper 集群配置文件中增加账号认证
网络战争的博客
01-18 1727
4. 设置环境变量:在每个Zookeeper服务器上设置环境变量,指定`ZOO_OPTS`为`-Djava.security.auth.login.config=zoo_jaas.conf`。该文件将用于配置Zookeeper的权限设置。3. 创建一个JAAS登录文件:在`zoo.cfg`文件同级目录下创建一个命名为`zoo_jaas.conf`的文件,用于存储Zookeeper登录凭据。其中,`Server`是一个标识符,`user_admin`是用户名,`adminpassword`是密码。
[zookeeper] SASL(Simple Authentication and Security Layer) 用户名密码认证配置
FaceFullofConfused的博客
07-12 6939
使用zookeeper zkCli.sh 连接 zookeeper服务时,默认裸连,晓得ip与端口之后即可连接zookeeper服务,本文使用SASL 用户名密码配置服务端与客户端,在zkCli连接前,服务端配置xxxjaas.conf保存用户名密码,客户端(也就是zkCli或者各种语言的sdk)连接时同样也需要xxxjaas.conf文件来进行认证
zookeeper未授权访问漏洞增加用户认证修复
疯子的梦想@的博客
01-02 1856
退出至linux命令行界面,重启zookeeper,在验证是否还可以未授权即可访问。linux机器中使用root命令行cd到zookeeper的bin文件夹下。如果此时有未授权漏洞,可通过以下命令验证。验证结果显示没有用户认证也可执行一些命令。启动zookeeper
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值