ZooKeeper系列(五)—— ACL权限控制

最新推荐文章于 2025-07-04 16:26:43 发布
原创 最新推荐文章于 2025-07-04 16:26:43 发布 · 870 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

一、前言

为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。

二、使用Shell进行权限管理

2.1 设置与查看权限

想要给某个节点设置权限 (ACL),有以下两个可选的命令:

 # 1.给已有节点赋予权限
 setAcl path acl
 
 # 2.在创建节点时候指定权限
 create [-s] [-e] path data acl

查看指定节点的权限命令如下:

getAcl path

2.2 权限组成

Zookeeper 的权限由[scheme : id :permissions]三部分组成,其中 Schemes 和 Permissions 内置的可选项分别如下:

Permissions 可选项

  • CREATE:允许创建子节点;
  • READ:允许从节点获取数据并列出其子节点;
  • WRITE:允许为节点设置数据;
  • DELETE:允许删除子节点;
  • ADMIN:允许为节点设置权限。

Schemes 可选项

  • world:默认模式,所有客户端都拥有指定的权限。world 下只有一个 id 选项,就是 anyone,通常组合写法为 world:anyone:[permissons]
  • auth:只有经过认证的用户才拥有指定的权限。通常组合写法为 auth:user:password:[permissons],使用这种模式时,你需要先进行登录,之后采用 auth 模式设置权限时,userpassword 都将使用登录的用户名和密码;
  • digest:只有经过认证的用户才拥有指定的权限。通常组合写法为 auth:user:BASE64(SHA1(password)):[permissons],这种形式下的密码必须通过 SHA1 和 BASE64 进行双重加密;
  • ip:限制只有特定 IP 的客户端才拥有指定的权限。通常组成写法为 ip:182.168.0.168:[permissions]
  • super:代表超级管理员,拥有所有的权限,需要修改 Zookeeper 启动脚本进行配置。

2.3 添加认证信息

可以使用如下所示的命令为当前 Session 添加用户认证信息,等价于登录操作。

# 格式
addauth scheme auth 

#示例:添加用户名为heibai,密码为root的用户认证信息
addauth digest heibai:root

2.4 权限设置示例

1. world模式

world 是一种默认的模式,即创建时如果不指定权限,则默认的权限就是 world。

[zk: localhost:2181(CONNECTED) 32] create /hadoop 123
Created /hadoop
[zk: localhost:2181(CONNECTED) 33] getAcl /hadoop
'world,'anyone    #默认的权限
: cdrwa
[zk: localhost:2181(CONNECTED) 34] setAcl /hadoop world:anyone:cwda   # 修改节点,不允许所有客户端读
....
[zk: localhost:2181(CONNECTED) 35] get /hadoop
Authentication is not valid : /hadoop     # 权限不足
2. auth模式
[zk: localhost:2181(CONNECTED) 36] addauth digest heibai:heibai  # 登录
[zk: localhost:2181(CONNECTED) 37] setAcl /hadoop auth::cdrwa    # 设置权限
[zk: localhost:2181(CONNECTED) 38] getAcl /hadoop                # 获取权限
'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s=   #用户名和密码 (密码经过加密处理),注意返回的权限类型是 digest
: cdrwa

#用户名和密码都是使用登录的用户名和密码,即使你在创建权限时候进行指定也是无效的
[zk: localhost:2181(CONNECTED) 39] setAcl /hadoop auth:root:root:cdrwa    #指定用户名和密码为 root
[zk: localhost:2181(CONNECTED) 40] getAcl /hadoop
'digest,'heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s=  #无效,使用的用户名和密码依然还是 heibai
: cdrwa
3. digest模式
[zk:44] create /spark "spark" digest:heibai:sCxtVJ1gPG8UW/jzFHR0A1ZKY5s=:cdrwa  #指定用户名和加密后的密码
[zk:45] getAcl /spark  #获取权限
'd
最低0.47元/天 解锁文章

新学期VIP享超值加赠
【大数据Zookeeper系列Zookeeper ACL
weixin_54707168的博客
04-09 349
为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。
Zookeeper分布式入门——ZK命令行【ACL权限控制
风雨的博客
08-18 870
ACL权限控制 针对节点可以设置相关读写等权限,目的为了保障数据安全性 权限permissions可以指定不同的权限范围以及角色 ACL命令行 getAcl:获取某个节点acl权限信息 setAcl:设置某个节点acl权限信息 addauth:输入认证权限信息,注册时输入明文密码(登录)但是在zk的系统里,密码时以加密的形式存在的 ACL的构成 一 zkacl通过[scheme
[2021]Zookeeper getAcl命令未授权访问漏洞概述与解决
NBA首席形象大使坤坤
04-07 3602
今天在漏洞扫描的时候蹦出来一个zookeeper的漏洞问题,即使是非zookeeper节点,或者是非集群内部节点,也可以通过nc扫描2181端口,获取极多的zk信息。关于漏洞的详细描述参考apache zookeeper官方概述:CVE-2018-8012: Apache ZooKeeper Quorum Peer mutual authentication 漏洞演示: 这是一个CDP集群,里面有三个物理节点,每个节点各自有一个zk实例,注意看IP。 另开一台非集群节点的连接,使用echo conf
深入理解 ZooKeeperZooKeeperACL实现
mf97532的博客
07-04 740
zookeeper在分布式系统中承担中间件的作用,它管理的每一个节点上可能都存储这重要的信息,因为应用可以读取到任意节点,这就可能造成安全问题,ACL的作用就是帮助zookeeper实现权限控制, 比如对节点的增删改查通过跟踪上面的源码,我们知道了zookeeper权限acl是如何实现的,以及客户端和服务端之间是如何相互配合的客户端同样是经过主线程跟进不同的命令类型,将请求打包packet发送到服务端服务端将addauth添加认证信息保存在内存中node会被持久化,因为它需要的认证同样被持久化。
zookeeper--ACL详解
qq_41768644的博客
03-28 3619
zookeeper ACL权限详解 addauth 详解
zookeeper命令 及 ACL控制
m0_74744788的博客
08-27 1323
登录zkCli.sh -server 192.168.58.81:2128 登录ipzkCli.sh 登录本机关闭会话 close帮助文档 help让zk数据发生变化都是一次事务create创建create /aaa 创建持久节点create -e /aaa/bbb 创建临时节点create /aaa/bbb/ccc 不能创建成功 因为bbb是临时节点
ZooKeeper部署全攻略——ACL控制
bbsxb520的博客
07-03 430
简单的ACL控制配置
zookeeper——权限控制ACL
保暖透气大裤衩LeoLee的博客
04-10 607
概述 ACL,全称:access control list,与linux系统对文件的权限控制类似,主要涵盖三个方面: 权限模式(scheme):授权的策略 授权对象(id):anyone、ip地址 权限(permission) 特点如下: zookeeper权限控制是基于每个znode节点的,对每个节点设置权限 每个znode支持设置多种权限控制方案核多个权限节点不会继承父节点权限,客户端无权访问某节点,但是可以访问它的子节点。 授权模式 world:默认授权模式,代表登录zooke
Zookeeper组件中ACL权限配置方法
最新发布
07-29
Zookeeper权限控制基于 ACL 实现,与 UNIX 权限机制类似,通过权限位来控制对 Znode 的操作。不过,ZookeeperACL 不区分用户(user)、组(group)和其他(world),也没有所有者概念,每个 ZNode 的 ACL 是...
ZooKeeper--ACL权限控制
weixin_42073629的博客
08-07 1751
一、前言 为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。 二、使用Shell进行权限管理 2.1 设置与查看权限 想要给某个节点设置权限 (ACL),有以下两个可选的命令: # 1.给已有节点赋予权限 setAcl path acl
ZOOKEEPER之访问控制ACL
大锤
08-29 9214
ACL访问控制列表 1 为什么要用ACL zk做为分布式架构中的重要中间件,通常会在上面以节点的方式存储一些关键信息,默认情况下,所有应用都可以读写任何节点,在复杂的应用中,这不太安全,ZK通过ACL机制来解决访问权限问题 2 何为ACL ACL(Access Control List)可以设置某些客户端,对zookeeper服务器上节点权限,如增删改查等 3 ACL种类 ZooKeeper 采用 ACL(Access Control Lists)策略来进行权限控制ZooKeeper 定义了如下5种权限
Zookeeper(2)常用命令,ACL权限
一个后端菜鸟的博客
03-18 2648
Zookeeper 常用命令和ACL权限
zk添加访问白名单
独孤飞磊
11-20 3056
ZK节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda 1.登陆zookeeper 进入zookeeper安装目录下的bin目录下执行 ./zkCli.sh -server ip:port 例如: ./zkCli.sh -server 10.100.254.107:2181 2.查看当前权限 getAcl / 3.添加可访问IP setAcl / ip:10.100.254.113:cdrwa,ip:10.100
ZooKeeper zkclient ACL 访问控制列表
xiaoliuliu2050的专栏
09-07 3139
存在的必要性 zk做为分布式架构中的重要中间件,通常会在上面以节点的方式存储一些关键信息,默认情况下,所有应用都可以读写任何节点,在复杂的应用中,这不太安全,ZK通过ACL机制来解决访问权限问题,详见官网文档:http://zookeeper.apache.org/doc/r3.4.6/zookeeperProgrammers.html#sc_ZooKeeperAccessControl 设计...
zookeeperacl权限控制_ZooKeeper ACL权限设置
weixin_28783097的博客
12-30 1246
ZK节点有5种操作权限:CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限身份的认证有4种方式:world:默认方式,相当于全世界都能访问auth:代表已经认证通过的用户(cli中可以通过addauth dig...
ZK/zookeeper常规命令 | Watch监控命令的使用 | ACL权限操作 | Four Letter Words四字命令详解 | 配置super超级用户权限 | 总结的很全面,你会喜欢吗
血煞长虹 的专栏
12-08 1万+
文章力求用最精简的语言,全面系统的介绍了zk各种命令的使用,这些命令都很重要,可以不用完全熟记,但是不可不知,温故而知新。 get set 是一些常规操作命令,Watch命令用来监听节点的各种变化(java项目实战用的比较多),nc命令有时候也不可或缺,比如dump命令。 全文根据命令的分类:常规、watch监控、Acl权限、nc四字命令,共分为四大章节。可更加目录,快速定位查看。
Apache ZooKeeper - ZKACL权限控制( Access Control List )
热门推荐
小工匠
11-18 1万+
文章目录概述 概述 ACL全称为Access Control List(访问控制列表),用于控制资源的访问权限,可以控制节点的读写操作,保证数据的安全性 。 ZooKeeper使用ACL来控制对其znode的防问。 Zookeeper ACL 权限设置分为 3 部分组成,分别是:权限模式(Scheme)、授权对象(ID)、权限信息(Permission) 基于scheme????permission的方式进行权限控制: scheme表示授权模式、id模式对应值、permission即具体的增删改权限位。
ZooKeeper安全认证
Future_LL的博客
02-22 6211
ZooKeeperACL(AUTH) 认证只是针对一个节点 ACL【Access Control List】,ZooKeeper作为一个分布式协调框架,其内部存储的都是一些关乎分布式系统运行时状态的元数据,尤其是涉及到一些分布式锁,Master选举和协调等应用场景。我们需要有效的保障ZooKeeper中的数据安全,ZooKeeper提供了三种模式。权限模式、授权对象、权限权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值